(1)

O Regulamento (UE) 2016/679 (2) estabelece as regras relativas à transferência de dados pessoais para países terceiros e organizações internacionais pelos responsáveis pelo tratamento e subcontratantes na União, na medida em que essa transferência seja abrangida pelo respetivo âmbito de aplicação. As regras relativas às transferências internacionais de dados são definidas no capítulo V do referido regulamento. Embora a circulação de dados pessoais com origem e destino a países não pertencentes à União Europeia seja essencial para o desenvolvimento do comércio transfronteiriço e da cooperação internacional, é indispensável garantir que o nível de proteção conferido aos dados pessoais na União não é comprometido por transferências para países terceiros ou organizações internacionais (3).

(2)

Nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro garante um nível de proteção adequado. Nessa condição, as transferências de dados pessoais para um país terceiro podem realizar-se sem que para tal seja necessária mais nenhuma autorização, conforme previsto no artigo 45.o, n.o 1, e no considerando 103 do Regulamento (UE) 2016/679.

(3)

Conforme estabelecido no artigo 45.o, n.o 2, do Regulamento (UE) 2016/679, a adoção de uma decisão de adequação deve basear-se numa análise exaustiva da ordem jurídica do país terceiro, que abranja tanto as regras aplicáveis a importadores de dados como as limitações e garantias relativas ao acesso aos dados pessoais pelas autoridades públicas. Na sua avaliação, a Comissão tem de apurar se o país terceiro em causa garante um nível de proteção «essencialmente equivalente» ao assegurado na União [considerando 104 do Regulamento (UE) 2016/679]. A questão de saber se é esse o caso deve ser apreciada à luz da legislação da União Europeia, nomeadamente pelo Regulamento (UE) 2016/679, bem como pela jurisprudência do Tribunal de Justiça da União Europeia (o Tribunal de Justiça) (4).

(4)

Conforme esclareceu o Tribunal de Justiça no seu Acórdão de 6 de outubro de 2015, Data Protection Commissioner (5) («Schrems»), C-362/14, ECLI:EU:C:2015:650, não é exigido um nível de proteção idêntico. Mais concretamente, os meios a que o país terceiro em causa recorre para proteger os dados pessoais podem ser diferentes dos aplicados na União, desde que se revelem, na prática, eficazes para assegurar um nível adequado de proteção (6). Por conseguinte, o padrão de adequação não exige que as regras da União sejam replicadas ponto por ponto. Em vez disso, importa aferir sobretudo se, por meio do teor dos direitos de privacidade e da sua aplicação, controlo e execução efetivos, o sistema estrangeiro consegue, no seu conjunto, garantir o nível de proteção exigido (7). Além disso, segundo esse acórdão, ao aplicar esta norma, a Comissão deve avaliar, nomeadamente, se o quadro jurídico do país terceiro em causa prevê normas destinadas a limitar ingerências nos direitos fundamentais dos cidadãos cujos dados são transferidos da União, ingerências essas que as autoridades estatais deste país seriam autorizadas a praticar quando prosseguem objetivos legítimos, tais como a segurança nacional, e se prevê uma proteção jurídica eficaz contra ingerências dessa natureza (8). O «documento de referência» relativo à adequação do Comité Europeu para a Proteção de Dados, que procura clarificar esta norma, também fornece orientações a este respeito (9).

(5)

A norma aplicável no que diz respeito a essa ingerência nos direitos fundamentais à privacidade e à proteção de dados foi clarificada pelo Tribunal de Justiça no seu acórdão de 16 de julho de 2020, Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems («Schrems II»), C-311/18, que declarou inválida a Decisão de Execução (UE) 2016/1250 da Comissão (10) relativa a um anterior quadro transatlântico de fluxo de dados, o Escudo de Proteção da Privacidade UE-EUA (Escudo de Proteção da Privacidade). O Tribunal de Justiça considerou que as limitações da proteção de dados pessoais que decorrem da regulamentação interna dos Estados Unidos relativa ao acesso e à utilização, pelas autoridades públicas americanas, desses dados transferidos da União para os Estados Unidos não estavam enquadradas de forma a satisfazer os requisitos substancialmente equivalentes aos exigidos no direito da União, no que diz respeito à necessidade e à proporcionalidade dessas ingerências no direito à proteção de dados (11). O Tribunal de Justiça também considerou que não existia qualquer via de recurso num órgão que proporcionasse aos cidadãos cujos dados eram transferidos para os Estados Unidos garantias substancialmente equivalentes às exigidas no artigo 47.o da Carta relativo ao direito à ação e a um tribunal imparcial (12).

(6)

Na sequência do acórdão Schrems II, a Comissão encetou conversações com o Governo dos EUA com vista a uma possível nova decisão de adequação que cumprisse os requisitos do artigo 45.o, n.o 2, do Regulamento (UE) 2016/679, tal como interpretado pelo Tribunal de Justiça. Em resultado destas conversações, os Estados Unidos adotaram, em 7 de outubro de 2022, o Executive Order 14086 intitulado «Enhancing Safeguards for [US] Signals Intelligence Activities» (EO 14086), que é complementado por um regulamento relativo ao Data Protection Review Court emitido pelo Attorney General dos EUA (Regulamento AG) (13). Além disso, o quadro aplicável às entidades comerciais responsáveis pelo tratamento de dados da União no âmbito da presente decisão — o «Quadro de Privacidade de Dados UE-EUA» (QPD UE-EUA ou QPD) — foi atualizado.

(7)

A Comissão analisou cuidadosamente a legislação e a prática dos EUA, nomeadamente o EO 14086 e o Regulamento AG. Com base nas conclusões estabelecidas nos considerandos 9-200, a Comissão conclui que os EUA asseguram um nível de proteção adequado dos dados pessoais transferidos ao abrigo do QPD UE-EUA de um responsável pelo tratamento ou de um subcontratante na União (14) para organizações certificadas nos Estados Unidos.

(8)

A presente decisão tem por efeito possibilitar as transferências de dados pessoais de responsáveis pelo tratamento e subcontratantes na União (15) para organizações certificadas nos EUA sem necessidade de obter qualquer outra autorização. A mesma não afeta a aplicação direta do Regulamento (UE) 2016/679 às referidas organizações que preencham as condições relativas ao âmbito de aplicação territorial do regulamento em apreço, previstas no seu artigo 3.o.

(9)

O QPD UE-EUA baseia-se num sistema de certificação através do qual as organizações dos EUA se comprometem com um conjunto de princípios de privacidade — os princípios do Quadro de Privacidade dos Dados UE-EUA, incluindo os princípios suplementares (coletivamente, «os princípios») — emitidos pelo Department of Commerce (DoC) dos EUA e constantes do anexo II da presente decisão (16). Para ser elegível para certificação no âmbito do QPD UE-EUA, uma organização deve estar sujeita aos poderes de investigação e execução da Federal Trade Commission (FTC) ou do Department of Transportation (DOT) dos EUA (17). Os princípios devem ser aplicáveis imediatamente após a certificação. Tal como explicado mais circunstanciadamente nos considerandos 48 a 52, as organizações do QPD UE-EUA são obrigadas a proceder à renovação anual da certificação da sua adesão aos princípios (18).

(10)

A proteção conferida no âmbito do QPD UE-EUA é aplicável a quaisquer dados pessoais transferidos da União para organizações localizadas nos EUA que tenham certificado a sua adesão aos princípios junto do DoC, com exceção dos dados recolhidos para efeitos de publicação, difusão ou outras formas de comunicação pública de material jornalístico e informação constante de material já publicado e arquivado (19). Por conseguinte, essas informações não podem ser transferidas com base no QPD UE-EUA.

(11)

Os princípios definem os dados pessoais/informação pessoal da mesma forma que o Regulamento (UE) 2016/679, ou seja, «os dados que se referem a uma pessoa identificada ou identificável, que entrem no âmbito do RGPD e que, sendo provenientes da UE, sejam recebidos por entidades norte-americanas, independentemente da forma em que se encontrem registados» (20). Por conseguinte, também abrangem dados de investigação pseudonimizados (ou codificados com chave) (incluindo os casos em que a chave não é partilhada com a entidade norte-americana que recebe os dados) (21). Do mesmo modo, a noção de tratamento é definida como «qualquer operação ou conjunto de operações sobre dados pessoais, efetuadas com ou sem meios automatizados, como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação ou difusão, e apagamento ou destruição» (22).

(12)

O QPD UE-EUA é aplicável às organizações localizadas nos EUA consideradas como responsáveis pelo tratamento (ou seja, um cidadão ou organização que, de forma autónoma ou em conjunto com outros, determina as finalidades e os meios do tratamento de dados pessoais) (23) ou como subcontratantes (ou seja, agentes que atuam em nome de um responsável pelo tratamento) (24). Os subcontratantes norte-americanos devem ser contratualmente obrigados a agir apenas mediante instruções do responsável europeu pelo tratamento e ajudar este último a responder aos pedidos dos cidadãos que exercem os seus direitos por força dos princípios (25). Além disso, no caso de subcontratação ulterior, um subcontratante deve celebrar um contrato com o subcontratante ulterior que assegure o mesmo nível de proteção previsto pelos princípios e tomar medidas para assegurar a sua aplicação adequada (26).

(13)

Os dados pessoais devem ser objeto de um tratamento lícito e leal. Devem ser recolhidos para uma finalidade específica e utilizados posteriormente apenas na medida em que essa utilização não seja incompatível com a finalidade do tratamento.

(14)

No âmbito do QPD UE-EUA, esta utilização é assegurada através de diferentes princípios. Em primeiro lugar, no âmbito do princípio de integridade dos dados e limitação das finalidades, à semelhança do artigo 5.o, n.o 1, alínea b), do Regulamento (UE) 2016/679, uma organização não pode tratar dados pessoais de modo incompatível com a finalidade que motivou a recolha original ou que tenha sido autorizada, subsequentemente, pelo titular dos dados (27).

(15)

Em segundo lugar, antes de utilizar os dados pessoais para uma nova finalidade (alterada) significativamente diferente, mas que ainda seja compatível com a finalidade original, ou para os divulgar a terceiros, a organização deve proporcionar aos titulares dos dados a oportunidade de se oporem (opção de não participação), de acordo com o princípio de escolha (28), através de um mecanismo claro, transparente e facilmente acessível. É importante salientar que este princípio não se substitui à proibição expressa dos tratamentos incompatíveis (29).

(16)

Devem existir garantias específicas aplicáveis ao tratamento de «categorias especiais» de dados.

(17)

Em conformidade com o princípio de escolha, aplicam-se garantias específicas ao tratamento de «informações sensíveis», ou seja, dados pessoais que especifiquem condições de saúde ou doenças, origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, pertença a sindicatos ou informações relativas à vida sexual do cidadão ou quaisquer outras informações recebidas de terceiros que sejam identificadas e tratadas por essa parte como sensíveis (30). Tal significa que quaisquer dados considerados sensíveis nos termos da legislação da União em matéria de proteção de dados (incluindo os dados relativos à orientação sexual, os dados genéticos e os dados biométricos) são tratados como sensíveis no âmbito do QPD UE-EUA pelas organizações certificadas.

(18)

Regra geral, as organizações devem obter a autorização afirmativa expressa (ou seja, a opção de participação) dos cidadãos para utilizarem informações sensíveis para finalidades diferentes das que, inicialmente, motivaram a sua recolha ou da finalidade posteriormente autorizada pelos cidadãos (através do exercício da opção de participação) ou para a sua divulgação a terceiros (31).

(19)

Esta autorização não tem de ser obtida em circunstâncias limitadas, semelhantes às exceções comparáveis previstas na legislação da União em matéria de proteção de dados, por exemplo, quando o tratamento de dados sensíveis é do interesse vital de uma pessoa, for necessário para a preparação de processos judiciais ou for necessário para prestar cuidados médicos ou elaborar um diagnóstico (32).

(20)

Os dados pessoais devem ser exatos e, se necessário, atualizados. Devem também ser adequados, pertinentes e não excessivos relativamente às finalidades para que são tratados e, em princípio, não devem ser conservados por mais tempo do que o necessário para as finalidades para que são tratados.

(21)

No âmbito do princípio de integridade dos dados e limitação das finalidades (33), os dados pessoais devem limitar-se ao que é relevante para a finalidade do tratamento. Além disso, as organizações devem, na medida do necessário para as finalidades do tratamento, tomar providências razoáveis para assegurar que os dados pessoais são fiáveis para a utilização prevista, exatos, completos e atuais.

(22)

Além disso, as informações pessoais só podem ser conservadas sob uma forma que permita identificar um cidadão ou o torne identificável (portanto, sob a forma de dados pessoais) (34) enquanto a sua utilização seja conforme à finalidade ou às finalidades para as quais foram inicialmente recolhidas ou posteriormente autorizadas, de acordo com o princípio de escolha. Esta obrigação não impede que as organizações continuem a tratar informações pessoais por períodos mais longos, mas apenas durante o tempo e na medida em que esse tratamento sirva razoavelmente para uma das finalidades específicas seguintes, semelhantes às exceções comparáveis previstas na legislação da União em matéria de proteção de dados: arquivamento no interesse público, jornalismo, literatura e arte, bem como investigação histórica e análise estatística (35). Quando os dados pessoais são conservados para uma destas finalidades, o seu tratamento está sujeito às garantias previstas nos princípios (36).

(23)

Além disso, os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo proteção contra tratamento não autorizado ou ilícito e contra perda, destruição ou danos acidentais. Para este fim, os responsáveis pelo tratamento e os subcontratantes devem tomar as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra eventuais ameaças. Estas medidas devem ser avaliadas tendo em conta o estado da técnica, os custos conexos e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos dos cidadãos.

(24)

No âmbito do QPD UE-EUA, tal é assegurado pelo princípio de segurança, que exige, à semelhança do artigo 32.o do Regulamento (UE) 2016/679, a adoção de medidas de segurança razoáveis e adequadas, tendo em conta os riscos inerentes ao tratamento e a natureza dos dados (37).

(25)

Os titulares dos dados devem ser informados sobre as principais características do tratamento dos respetivos dados pessoais.

(26)

Tal é assegurado pelo princípio de aviso (38) que, à semelhança dos requisitos de transparência previstos no Regulamento (UE) 2016/679, exige que as organizações informem os titulares dos dados sobre, nomeadamente: i) a participação da organização no QPD, ii) o tipo de dados recolhidos, iii) a finalidade do tratamento, iv) o tipo ou a identidade de terceiros a quem os dados pessoais podem ser divulgados e as finalidades dessa divulgação, v) os seus direitos individuais, vi) a forma de contactar a organização, e vii) as vias de recurso disponíveis.

(27)

Esta informação deve ser fornecida numa linguagem clara e visível, sempre que seja solicitado aos cidadãos que forneçam dados pessoais pela primeira vez ou logo que possível depois desse momento, mas em qualquer caso antes de os dados serem utilizados para uma finalidade substancialmente diferente (mas compatível) daquela para que foram recolhidos ou antes de serem divulgados a terceiros (39).

(28)

Além disso, as organizações devem tornar públicas as suas políticas de privacidade que reflitam os princípios (ou, no caso dos dados relativos aos recursos humanos, disponibilizá-los imediatamente aos cidadãos em causa) e fornecer ligações para o sítio Web do DoC (com mais pormenores sobre a certificação, os direitos dos titulares dos dados e os mecanismos de recurso disponíveis), a lista do Quadro de Privacidade de Dados (lista do QPD) das organizações participantes e o sítio Web de um prestador de resolução alternativa de litígios adequado (40).

(29)

Os titulares dos dados devem ter determinados direitos que podem ser exercidos contra o responsável pelo tratamento ou subcontratante, nomeadamente o direito de acesso aos dados, o direito de oposição ao tratamento e o direito de retificação e apagamento dos dados.

(30)

O princípio de acesso (41) do QPD UE-EUA confere aos cidadãos esses direitos. Em especial, os titulares dos dados têm o direito, sem necessidade de justificação, de obter junto de uma organização a confirmação de que está a tratar dados pessoais que lhes digam respeito, que os dados lhes sejam comunicados e de obter informações sobre a finalidade do tratamento, as categorias de dados pessoais que estão a ser tratados e os destinatários (categorias) a quem os dados são divulgados (42). As organizações são obrigadas a responder aos pedidos de acesso num prazo razoável (43). Uma organização pode estabelecer limites razoáveis quanto ao número de vezes que podem ser aceites pedidos de acesso de um cidadão num determinado período e pode cobrar uma taxa que não seja excessiva, por exemplo, quando os pedidos são manifestamente excessivos, em especial devido ao seu caráter repetitivo (44).

(31)

O direito de acesso só pode ser limitado em circunstâncias excecionais, semelhantes às previstas na legislação da União em matéria de proteção de dados, nomeadamente quando impliquem a violação dos direitos legítimos de terceiros, quando os encargos ou as despesas para facultar o acesso forem desproporcionados em relação aos riscos para a vida privada do cidadão nas circunstâncias do caso (embora os encargos e as despesas não sejam fatores de controlo para determinar se o acesso facultado é razoável), na medida em que a divulgação seja passível de interferir com a salvaguarda de interesses públicos igualmente importantes, em especial a segurança nacional, a segurança pública ou a defesa, se a informação contiver informações comerciais confidenciais, ou se a informação for tratada exclusivamente para fins de investigação ou estatísticos (45). Qualquer recusa ou limitação do direito de acesso deve ser necessária, devidamente justificada e a organização deve suportar o ónus de demonstrar que estes requisitos são preenchidos (46). Ao proceder a essa avaliação, a organização deve ter especialmente em conta os interesses do indivíduo (47). Sempre que for possível separar a informação de outros dados aos quais é aplicável uma limitação, a organização deve suprimir a informação protegida e divulgar a restante informação (48).

(32)

Além disso, os titulares dos dados têm o direito de obter a retificação ou a alteração de dados inexatos, bem como a eliminação de dados que tenham sido tratados em violação dos princípios (49). Acresce que, conforme explicado no considerando 15, as pessoas têm o direito de se oporem ao tratamento dos seus dados para finalidades significativamente diferentes (mas compatíveis) que motivaram a recolha dos dados e à divulgação dos seus dados a terceiros. Quando os dados pessoais são utilizados para efeitos de comercialização direta, os cidadãos têm o direito geral de se oporem ao tratamento em qualquer momento (50).

(33)

Os princípios não abordam, em específico, a questão das decisões que afetam o titular dos dados baseadas exclusivamente no tratamento automatizado dos dados pessoais. No entanto, no que se refere aos dados pessoais recolhidos na União, regra geral, qualquer decisão baseada num tratamento automatizado deve ser tomada pelo responsável pelo tratamento na União (que tem uma relação direta com o titular dos dados em causa), estando, por conseguinte, sujeita ao Regulamento (UE) 2016/679 (51). Tal inclui cenários de transferência em que o tratamento seja realizado por um operador comercial estrangeiro (por exemplo, EUA), que atua como agente (subcontratante) do responsável pelo tratamento na União (ou como subcontratante ulterior do subcontratante da União, o qual por sua vez recebeu os dados de um responsável pelo tratamento da União que os recolheu) que, nesta base, toma então a decisão.

(34)

Este aspeto foi confirmado por um estudo encomendado pela Comissão em 2018 no contexto da segunda análise anual do funcionamento do Escudo de Proteção da Privacidade (52), que concluiu que, na altura, não existiam provas que sugerissem que as organizações aderentes ao Escudo de Proteção da Privacidade estavam, em geral, a tomar decisões automatizadas com base em dados pessoais transferidos no âmbito do Escudo de Proteção da Privacidade.

(35)

Em todo o caso, nos domínios em que é muito provável que as empresas recorram ao tratamento automatizado de dados pessoais para tomar decisões que afetem a pessoa (por exemplo, concessão de crédito, ofertas de crédito hipotecário, habitação e seguros), o direito dos EUA proporciona proteções específicas contra as decisões negativas (53). Estes atos preveem normalmente que as pessoas têm o direito de serem informadas das razões específicas subjacentes à decisão (por exemplo, a recusa de concessão de um crédito), de contestar as informações incompletas ou inexatas (bem como confiança em fatores ilegais) e procurar obter reparação. No domínio do crédito ao consumo, a Fair Credit Reporting Act (FCRA) e a Equal Credit Opportunity Act (ECOA) contêm garantias que proporcionam aos consumidores alguma forma de direito a uma explicação e o direito de contestar a decisão. Estas leis são pertinentes num vasto leque de domínios, designadamente o crédito, o emprego, a habitação e os seguros. Além disso, determinadas leis relativas à antidiscriminação, como o título VII do Civil Rights Act e o Fair Housing Act, protegem os cidadãos em relação a modelos utilizados na tomada de decisões automatizadas suscetíveis de conduzir à discriminação com base em certas características e concedem aos cidadãos o direito de contestar essas decisões, nomeadamente as automatizadas. No que diz respeito aos dados de saúde, a Health Insurance Portability and Accountability Act (HIPAA) Privacy Rulecria determinados direitos semelhantes aos do Regulamento (UE) 2016/679 no que toca ao acesso aos dados de saúde de caráter pessoal. Além disso, as orientações das autoridades norte-americanas exigem que os prestadores de serviços médicos recebam informações que lhes permitam informar os cidadãos sobre os sistemas automatizados de tomada de decisões utilizados no setor médico (54).

(36)

Por conseguinte, estas normas proporcionam proteções semelhantes às previstas na legislação da União em matéria de proteção de dados na situação improvável em que sejam tomadas decisões automatizadas pela própria organização do QPD UE-EUA.

(37)

O nível de proteção conferido aos dados pessoais transferidos da União para as organizações nos Estados Unidos não pode ser prejudicado pela transferência subsequente desses dados para um destinatário nos Estados Unidos ou noutro país terceiro.

(38)

No âmbito do princípio da responsabilização pela transferência ulterior (55), são aplicáveis regras especiais às transferências designadas como «ulteriores», ou seja, às transferências de dados pessoais de uma organização aderente ao QPD UE-EUA para um responsável pelo tratamento ou um subcontratante, independentemente de este se encontrar nos Estados Unidos ou num país terceiro fora dos Estados Unidos (e da União). Qualquer transferência ulterior só pode ter lugar: i) para finalidades limitadas e específicas, ii) com base num contrato entre a organização do QPD UE-EUA e o terceiro (56) (ou num acordo comparável no âmbito de um grupo de empresas (57)), e iii) se esse contrato exigir unicamente que o terceiro assegure o mesmo nível de proteção que o garantido pelos princípios.

(39)

Esta obrigação de proporcionar o mesmo nível de proteção que o garantido pelos princípios, em combinação com o princípio de integridade dos dados e limitação das finalidades, implica, nomeadamente, que terceiros só podem tratar as informações pessoais que lhes sejam transmitidas para finalidades que não sejam incompatíveis com as finalidades que motivaram a recolha ou que tenham sido autorizadas posteriormente pelo cidadão (de acordo com o princípio de escolha).

(40)

O princípio de responsabilização pela transferência ulterior deve ser lido em conjugação com o princípio de aviso e, em caso de transferência posterior para um responsável pelo tratamento num país terceiro (58), com o princípio da escolha, segundo o qual os titulares de dados devem ser informados (entre outros) do tipo/identidade de qualquer destinatário terceiro, da finalidade da transferência ulterior, bem como da escolha que podem proporcionar e da possibilidade de poderem opor-se (opt out) ou, no caso de dados sensíveis, terem de dar «o seu consentimento expresso» (opt in) a essas transferências posteriores.

(41)

A obrigação de fornecer o mesmo nível de proteção que o garantido pelos princípios é aplicável a todos os terceiros que intervenham no tratamento dos dados assim transferidos independentemente da sua localização (nos EUA ou num outro país terceiro), bem como quando o destinatário terceiro inicial comunica por sua vez esses dados a um outro destinatário terceiro, por exemplo, para fins de subcontratação ulterior.

(42)

De qualquer modo, o contrato com o destinatário terceiro deve prever que, se este último verificar que deixou de estar em condições de cumprir esta obrigação, lhe cabe informar do facto a organização aderente ao QPD UE-EUA. Nesse caso, o tratamento pelo terceiro deve cessar ou devem ser tomadas outras medidas razoáveis e adequadas para corrigir a situação (59).

(43)

Estão previstas proteções suplementares em caso de transferência posterior para um agente terceiro (um subcontratante). Nesse caso, a organização norte-americana deve assegurar que o agente atua apenas segundo as suas instruções e toma medidas razoáveis e adequadas i) para garantir que o agente trata efetivamente as informações pessoais que lhe são transferidas de forma compatível com as obrigações que incumbem à organização por força dos princípios e ii) para pôr termo e remediar o tratamento não autorizado, logo que seja notificada (60). O DoC pode solicitar à organização que forneça um resumo ou uma cópia representativa das disposições do contrato em matéria de privacidade (61). Se surgirem problemas de conformidade numa cadeia de (sub)contratação ulterior, a organização que atua na qualidade de responsável pelo tratamento dos dados pessoais é, em princípio, responsabilizada, tal como especificado no princípio de recurso, aplicação e responsabilidade, salvo se a organização provar que não é responsável pela situação conducente aos danos (62).

(44)

De acordo com o princípio da responsabilização, as entidades responsáveis pelo tratamento de dados devem aplicar medidas técnicas e organizativas adequadas para cumprir as suas obrigações de proteção dos dados de forma eficaz e poder demonstrar esse cumprimento, em particular junto da autoridade de controlo competente.

(45)

Quando uma organização tenha decidido, a título voluntário, certificar (63) no âmbito do QPD UE-EUA, a sua conformidade efetiva com os princípios é obrigatória e executória. No âmbito do princípio de recurso, aplicação e responsabilidade (64), as organizações do QPD UE-EUA devem prever mecanismos eficazes para assegurar a conformidade com os princípios. As organizações devem também tomar medidas para verificar (65) que as suas políticas em matéria de proteção da vida privada são conformes com os princípios de privacidade e são efetivamente cumpridas. Tal pode ser efetuado através de um sistema de autoavaliação, que deve incluir procedimentos internos que assegurem que os trabalhadores recebem formação sobre a aplicação das políticas da organização em matéria de proteção da privacidade e que a conformidade é periodicamente reapreciada de forma objetiva, ou verificações de conformidade externas, cujos métodos podem incluir auditorias, verificações aleatórias ou a utilização de ferramentas tecnológicas.

(46)

Além disso, as organizações devem conservar registos sobre a aplicação das suas práticas no âmbito do QPD UE-EUA e disponibilizá-los, mediante pedido, a um organismo independente de resolução de litígios ou a uma autoridade responsável pela aplicação da lei competente no contexto de uma investigação ou de uma queixa por incumprimento (66).

(47)

O DoC será responsável pela administração e controlo do QPD UE-EUA. O QPD UE-EUA prevê mecanismos de supervisão e de aplicação destinados a verificar e garantir que as organizações do QPD UE-EUA cumprem os princípios e que será resolvida qualquer falha de cumprimento. Estes mecanismos são definidos nos princípios (anexo II) e nos compromissos assumidos pelo Department of Commerce (anexo III), pela FTC (anexo IV) e pelo Department of Transportation (anexo V).

(48)

Para se certificarem no âmbito do QPD UE-EUA (ou para renovarem a certificação numa base anual), as organizações são obrigadas a declarar publicamente o seu compromisso em cumprir os princípios, disponibilizar as suas políticas de privacidade e aplicá-las na íntegra (67). No âmbito da sua declaração de renovação da certificação, as organizações têm de apresentar informações ao DoC sobre, entre outros elementos, o nome da organização relevante, uma descrição das finalidades para as quais a organização tratará os dados pessoais, os dados pessoais que serão abrangidos pela certificação, bem como o método de verificação escolhido, o mecanismo de recurso independente pertinente e o organismo oficial com competência para impor o cumprimento dos princípios (68).

(49)

As organizações podem receber dados pessoais com base no QPD UE-EUA a contar da data em que são incluídas na lista do QPD pelo DoC. Para garantir a segurança jurídica e evitar «falsas alegações», as organizações que se certificam pela primeira vez não estão autorizadas a referir publicamente a sua adesão aos princípios antes de o DoC determinar a completude da declaração de certificação apresentada pela organização e de incluir a organização na lista do QPD (69). Para poder continuar a basear-se no QPD UE-EUA para receber dados pessoais da União, as organizações devem renovar anualmente a certificação da sua adesão ao quadro. Quando uma organização abandona o QPD UE-EUA por qualquer motivo, deve suprimir todas as declarações que sugiram que a organização continua a participar no quadro (70).

(50)

Tal como refletido nos compromissos estabelecidos no anexo III, o DoC verifica se as organizações cumprem todos os requisitos de certificação e se adotaram uma política de privacidade (pública) que contenha as informações exigidas pelo princípio de aviso (71). Com base na experiência adquirida com o processo de renovação da certificação no âmbito do Escudo de Proteção da Privacidade, o DoC procederá a uma série de verificações, nomeadamente para verificar se as políticas de privacidade das organizações contêm uma ligação para o formulário correto para a apresentação de queixas no sítio Web do mecanismo de resolução de litígios pertinente e, quando várias entidades e filiais de uma organização constarem de uma declaração de certificação, se as políticas de privacidade de cada uma dessas entidades cumprem os requisitos de certificação e estão facilmente acessíveis aos titulares dos dados (72). Além disso, sempre que necessário, o DoC efetua verificações cruzadas com a FTC e o DOT para verificar se as organizações estão sujeitas ao organismo de supervisão indicado nos seus pedidos de renovação da certificação e colabora com os organismos de resolução alternativa de litígios para verificar se as organizações estão registadas no mecanismo de recurso independente constante da sua declaração de certificação ou de renovação da certificação (73).

(51)

O Department of Commerce informa as organizações de que, para concluírem a renovação da certificação, devem resolver todas as questões identificadas durante a sua análise. No caso de uma organização não responder dentro do prazo fixado pelo DoC (por exemplo, no que respeita à renovação da certificação, espera-se que o processo esteja concluído no prazo de 45 dias) (74) ou não concluir a sua certificação, a declaração será considerada como rejeitada. Nesse caso, quaisquer declarações falsas sobre a participação ou o cumprimento com o QPD UE-EUA podem ser objeto de medidas coercivas por parte da FTC ou do DOT (75).

(52)

Para que o QPD UE-EUA seja corretamente aplicado, as partes interessadas, tal como os titulares dos dados, os exportadores de dados e as autoridades nacionais responsáveis pela proteção dos dados devem estar em condições de identificar as organizações aderentes aos princípios. Para garantir essa transparência no «ponto de entrada», o DoC comprometeu-se a manter e a disponibilizar ao público a lista das organizações que certificaram a sua adesão aos princípios e que são abrangidas pelo âmbito de competência de, pelo menos, uma das autoridades responsáveis pela aplicação da lei referidas nos anexos IV e V da presente decisão (76). O Department of Commerce atualizará a lista com base nos pedidos de renovação da certificação anual das organizações e sempre que uma organização se retire ou seja suprimida do QPD UE-EUA. Além disso, para garantir a transparência também no «ponto de saída», o DoC manterá e disponibilizará ao público um registo das organizações que foram suprimidas da lista, indicando, em cada caso, o motivo dessa supressão (77). Por último, fornecerá uma ligação para a página Web da FTC relativa ao QPD UE-EUA, em que figuram as medidas coercivas adotadas pela FTC no âmbito do quadro (78).

(53)

O DoC fiscalizará continuamente o cumprimento efetivo dos princípios pelas organizações do QPD UE-EUA através de diferentes mecanismos (79). Em especial, efetuará «controlos esporádicos» a organizações selecionadas aleatoriamente, bem como controlos esporádicos ad hoc a organizações específicas quando forem identificados potenciais problemas de cumprimento (por exemplo, comunicados ao Department of Commerce por terceiros), a fim de verificar se: i) existem pontos de contacto para tratar queixas e pedidos dos titulares dos dados e se lhes dão resposta; ii) a política de privacidade da organização está facilmente acessível, tanto no seu sítio Web como através de uma ligação no sítio Web do Department of Commerce; iii) a política de privacidade da organização continua a cumprir os requisitos de certificação; e iv) o mecanismo independente de resolução de litígios escolhido pela organização está disponível para proceder ao tratamento das queixas (80).

(54)

Se existirem provas credíveis de que uma organização não cumpre os compromissos assumidos no âmbito do QPD UE-EUA (em especial, se o DoC receber queixas ou se a organização não responder satisfatoriamente aos inquéritos do DoC), o DoC exigirá que a organização preencha e apresente um questionário pormenorizado (81). Uma organização que não responda de forma satisfatória e atempada ao questionário será remetida para a autoridade competente (a FTC ou o DOT) para a aplicação de eventuais medidas coercivas (82). No âmbito das suas atividades de verificação de conformidade no contexto do Escudo de Proteção da Privacidade, o DoC efetuou verificações aleatórias regulares a que se refere o considerando 53 e controlou continuamente os relatórios públicos, o que lhe permitiu identificar, abordar e resolver problemas de cumprimento (83). As organizações que de maneira persistente não cumpram os princípios devem ser suprimidas da lista do QPD e devem devolver ou eliminar os dados pessoais recebidos ao abrigo do quadro (84).

(55)

Noutros casos de supressão, como a retirada voluntária ou a não renovação da certificação, a organização deve apagar ou devolver os dados, ou pode conservá-los, desde que confirme anualmente ao DoC o seu compromisso de continuar a aplicar os princípios ou garanta uma proteção adequada dos dados pessoais através de outros meios autorizados (por exemplo, através de um contrato que reflita na íntegra os requisitos das cláusulas contratuais-tipo pertinentes aprovadas pela Comissão) (85). Neste caso, as organizações devem ainda identificar um ponto de contacto na organização para o esclarecimento de todas as questões relacionadas com o QPD UE-EUA.

(56)

O DoC controlará quaisquer falsas alegações de participação no QPD UE-EUA ou a utilização indevida da marca de certificação do QPD UE-EUA, tanto oficiosamente como com base em queixas (por exemplo, recebidas das APD) (86). Em especial, o DoC verificará continuamente se as organizações que: i) deixem de participar no QPD UE-EUA, ii) não efetuam a renovação da certificação anual (ou seja, iniciaram, mas não concluíram o processo de renovação da certificação anual em tempo útil ou não chegaram a iniciar o processo de renovação da certificação anual), iii) sejam excluídas como participantes, em particular devido a «incumprimento persistente», ou iv) não efetuam a certificação inicial (ou seja, iniciaram, mas não concluíram o processo de renovação da certificação inicial em tempo útil), suprimem qualquer política de privacidade publicada pertinente das referências ao QPD UE-EUA que sugira que a organização participa ativamente no quadro (87). O DoC também efetuará pesquisas na Internet para identificar referências ao QPD UE-EUA nas políticas de privacidade das organizações, designadamente para identificar falsas alegações de organizações que nunca participaram no QPD UE-EUA (88).

(57)

Se o DoC verificar que as referências ao QPD UE-EUA não foram suprimidas ou são utilizadas indevidamente, informará a organização sobre um eventual recurso junto da FTC/ do DOT (89). Se uma organização não responder de forma satisfatória, o DoC submeterá a questão para a agência competente para a aplicação de potenciais medidas coercivas (90). Quaisquer declarações falsas prestadas ao público em geral por uma organização relativas à sua adesão aos princípios, sob a forma de declarações ou práticas enganosas, estão sujeitas a medidas coercivas por parte da FTC, do DOT ou de outras autoridades norte-americanas responsáveis pela aplicação da lei. As falsas declarações prestadas ao Department of Commerce são passíveis de impugnação judicial nos termos do False Statements Act (legislação sobre falsas declarações — 18 USC § 1001).

(58)

A fim de assegurar que seja garantido, na prática, um nível adequado de proteção dos dados, deve ser criada uma autoridade de controlo independente incumbida de supervisionar a aplicação das normas em matéria de proteção de dados e de as fazer cumprir.

(59)

As organizações do QPD UE-EUA devem estar sujeitas à jurisdição das autoridades competentes dos EUA, ou seja, a FTC e o DOT, que têm os poderes de investigação e execução necessários para assegurar o cumprimento efetivo dos princípios (91).

(60)

A FTC é uma autoridade independente constituída por cinco comissários, nomeados pelo presidente com o conselho e consentimento do Senado (92). Os comissários são nomeados por um período de sete anos e só podem ser destituídos pelo presidente por ineficiência, negligência do dever ou prevaricação. A FTC não pode ter mais de três comissários do mesmo partido político e os comissários não podem, durante a sua nomeação, dedicar-se a qualquer outro negócio, vocação ou emprego.

(61)

A FTC pode investigar o cumprimento dos princípios, bem como falsas alegações de adesão aos princípios ou de participação no QPD UE-EUA por parte de organizações que já não constem da lista do QPD ou que nunca foram certificadas (93). A FTC pode assegurar o cumprimento dos princípios através de decisões proferidas por tribunais administrativos ou federais (incluindo «injunções» obtidas por meio de acordos) (94) relativas a injunções preliminares ou permanentes ou outras reparações e controlará sistematicamente o cumprimento dessas decisões (95). Quando as organizações não cumpram essas decisões, a FTC pode solicitar sanções de caráter civil e outras reparações, designadamente por quaisquer danos provocados pela conduta ilegal. Todas as injunções dirigidas a uma organização aderente ao QPD UE-EUA devem incluir disposições de comunicação pela própria organização (96), devendo estas organizações publicar todas as secções pertinentes relacionadas com o QPD UE-EUA dos relatórios de conformidade ou avaliação apresentados à FTC. Por último, a FTC manterá uma lista em linha das organizações objeto de decisões judiciais ou da FTC em processos relativos ao QPD UE-EUA (97).

(62)

No que diz respeito ao Escudo de Proteção da Privacidade, a FTC aplicou medidas coercivas a cerca de 22 processos, tanto no que toca a violações de requisitos específicos do quadro (por exemplo, a omissão de confirmação ao DoC de que a organização continuava a aplicar as proteções do Escudo de Proteção da Privacidade depois de ter saído do quadro, a não verificação, através de uma autoavaliação ou de uma verificação de conformidade externa, de que a organização cumpria o quadro) (98) como a falsas alegações de participação no quadro (por exemplo, por organizações que não cumpriram as fases necessárias para obter a certificação ou que deixaram caducar a sua certificação, mas que continuaram falsamente a referir a sua participação no quadro) (99). Estas medidas coercivas resultaram, nomeadamente, da utilização proativa de intimações administrativas para obter materiais de determinados participantes no Escudo de Proteção da Privacidade, a fim de verificar a existência de violações significativas das obrigações do Escudo de Proteção da Privacidade (100).

(63)

De um modo mais geral, nos últimos anos, a FTC tomou medidas coercivas numa série de casos relativos ao cumprimento de requisitos específicos em matéria de proteção de dados também previstos ao abrigo do QPD UE-EUA, por exemplo, no que diz respeito aos princípios da limitação da finalidade e da conservação dos dados (101), da minimização dos dados (102), da segurança (103) e da exatidão dos dados (104).

(64)

Nos termos da legislação federal, o DOT dispõe de competência exclusiva para regular as práticas de proteção da privacidade das companhias aéreas e partilha competência com a FTC no que se refere às práticas de proteção da privacidade das agências de viagens na venda de passagens aéreas. Os funcionários do DoT têm como primeiro objetivo chegar a um acordo e, se tal não for possível, podem instaurar um processo de execução que implica uma audição de provas perante um juiz de direito administrativo do DoT, que tem competência para emitir decisões para fazer cessar e proibir as práticas desleais (105). Os juízes de direito administrativo beneficiam de várias proteções nos termos da Administrative Procedure Act (APA) por forma a garantir a sua independência e imparcialidade. Por exemplo, só podem ser destituídos por justa causa, os processos são-lhes atribuídos alternadamente, não podem exercer funções incompatíveis com as suas funções e responsabilidades enquanto juízes de direito administrativo, não estão sujeitos à supervisão da equipa de investigação da autoridade para a qual trabalham (neste caso, o DOT) e devem exercer a sua função executiva/jurisdicional de modo imparcial (106). O DoT comprometeu-se a controlar os despachos de execução e a assegurar que as decisões resultantes de processos relativos ao QPD UE-EUA estão disponíveis no seu sítio Web (107).

(65)

A fim de assegurar uma proteção adequada e, nomeadamente, o exercício dos direitos individuais, o titular dos dados deve dispor de vias de recurso administrativas e judiciais eficazes.

(66)

O QPD UE-EUA determina, através do princípio de recurso, aplicação e responsabilidade, que as organizações criem vias de recurso em caso de incumprimento, e que, deste modo, os titulares de dados da União, possam apresentar queixas por incumprimento por parte de organizações do QPD UE-EUA e obtenham a resolução dessas queixas, se necessário mediante uma decisão de reparação efetiva (108). No quadro da sua certificação, as organizações devem satisfazer os requisitos deste princípio, prevendo mecanismos de recurso independentes facilmente acessíveis e eficazes, através dos quais as queixas e os litígios possam ser examinados e resolvidos sem custos para os cidadãos (109).

(67)

As organizações podem escolher mecanismos de recurso independentes na União ou nos Estados Unidos, Conforme explicado mais circunstanciadamente no considerando 73, tal inclui a possibilidade de se comprometerem, a título voluntário, em cooperar com as APD da UE. Sempre que as organizações tratem dados relativos a recursos humanos, esse compromisso de cooperação com as APD da UE é obrigatório. Outras alternativas incluem um organismo independente de resolução alternativa de litígios ou programas de proteção da privacidade elaborados pelo setor privado, que integram os princípios nas suas regras. Estes devem incluir mecanismos de execução eficazes conformes aos requisitos do princípio de recurso, aplicação e responsabilidade.

(68)

Por conseguinte, o QPD UE-EUA fornece aos titulares de dados um certo número de possibilidades para fazerem valer os seus direitos, apresentarem queixas em caso de incumprimento pelas organizações do QPD UE-EUA e de essas queixas serem resolvidas, se necessário mediante uma decisão de reparação efetiva. Os titulares de dados podem apresentar uma queixa diretamente a uma organização, um organismo independente de resolução de litígios designado pela organização, às APD nacionais, ao Department of Commerce ou à FTC. Nos casos em que essas queixas não foram resolvidas por um desses mecanismos de recurso ou de aplicação, os cidadãos têm igualmente o direito de invocar uma arbitragem vinculativa (anexos I e II da presente decisão). Salvo no que diz respeito ao comité de arbitragem, que exige o esgotamento de um certo número de vias de recurso antes de se poder recorrer a ele, os titulares de dados têm a liberdade de recorrer a um ou a todos os mecanismos de recurso da sua escolha, não sendo a obrigados a escolher um determinado mecanismo ou a seguir uma determinada ordem.

(69)

Em primeiro lugar, os titulares de dados da União podem impugnar os casos de incumprimento dos princípios através de contactos diretos com as organizações do QPD UE-EUA (110). A fim de facilitar a resolução, a organização deve instaurar um mecanismo de recurso eficaz para tratar de tais queixas. A política das organizações em matéria de proteção da privacidade deve, por conseguinte, informar claramente os cidadãos sobre um ponto de contacto, interno ou externo à organização, que procederá ao tratamento das queixas (nomeadamente qualquer estabelecimento competente na União que possa responder a questões e queixas), bem como sobre o organismo independente de resolução de litígios designado (ver considerando 70). Após a receção de uma queixa individual, independentemente de ser apresentada diretamente pelo interessado ou através do DoC na sequência de um reenvio por uma APD, a organização deve fornecer uma resposta ao titular de dados da União no prazo de 45 dias (111). Do mesmo modo, as organizações devem responder rapidamente às questões e a outros pedidos de informações relativos à sua adesão aos princípios que lhes são dirigidos pelo DoC ou por uma APD (112) (quando a organização se tenha comprometido a cooperar com a APD).

(70)

Em segundo lugar, os titulares de dados podem também apresentar uma queixa diretamente a um organismo independente de resolução de litígios (quer nos Estados Unidos ou na União) designado pela organização para investigar e resolver queixas individuais (salvo se evidentemente infundadas ou abusivas) e para proporcionar uma via de recurso adequada a título gratuito para o titular dos dados (113). As reparações e sanções aplicadas por esse organismo devem ser suficientemente rigorosas para garantir a conformidade das organizações com os princípios e devem prever uma inversão ou correção, por parte da organização, dos efeitos do incumprimento e, em função das circunstâncias, a cessação da continuação do tratamento dos dados pessoais em causa e/ou a sua eliminação, bem como a publicação no que se refere a casos de incumprimento (114). Os organismos independentes para a resolução de litígios designados por uma organização são obrigados a incluir nos seus sítios Web públicos informações pertinentes sobre o QPD UE-EUA e os serviços que prestam neste âmbito (115). Todos os anos, devem publicar um relatório anual com estatísticas agregadas relativas a estes serviços (116).

(71)

No âmbito dos respetivos procedimentos de verificação da conformidade, o DoC pode verificar se as organizações do QPD UE-EUA estão efetivamente registadas junto dos mecanismos de recurso independentes nos quais alegam estar registadas (117). Tanto as organizações como os mecanismos de recurso independentes responsáveis devem responder imediatamente às questões e aos pedidos de informações apresentados pelo Department of Commerce sobre o QPD UE-EUA. O DoC colaborará com os mecanismos de recurso independentes para verificar se incluem nos seus sítios Web informações relativas aos princípios e aos serviços que prestam no âmbito do QPD UE-EUA e se publicam relatórios anuais (118).

(72)

Nos casos em que a organização não cumpra a decisão de um organismo de autorregulação ou de resolução de litígios, este deve notificar o incumprimento ao DoC e à FTC (ou a outra entidade norte-americana com competência para investigar o incumprimento por parte da organização), ou a um tribunal competente (119). Se uma organização se recusar a cumprir uma decisão definitiva de um organismo de autoregulação, um organismo independente de resolução de conflitos, ou um organismo público competente em matéria de privacidade, ou quando o referido organismo concluir que, frequentemente, uma organização não cumpre os princípios, tal pode ser considerado como um incumprimento sistemático o que implica que o DoC, após dar à organização que não cumpriu um pré-aviso de 30 dias e uma oportunidade para responder, pocederá à supressão da referida organização da lista (120). Se, uma vez suprimida da lista, a organização continuar a alegar a sua certificação no âmbito do QPD UE-EUA, o DoC submeterá a questão à FTC ou outro órgão ou agente da autoridade (121).

(73)

Em terceiro lugar, as pessoas singulares podem também apresentar as suas reclamações a uma APD nacional na União, que pode utilizar os seus poderes de investigação e reparação ao abrigo do Regulamento (UE) 2016/679. As organizações são obrigadas a cooperar na investigação e a resolução de uma queixa por uma APD, quer no que diz respeito ao tratamento de dados de recursos humanos recolhidos no contexto de uma relação laboral ou quando a entidade respetiva se tenha submetido voluntariamente à supervisão por parte das APD (122). Designadamente, as organizações devem responder a questões, respeitar o aconselhamento prestado pela APD, incluindo no que se refere a medidas de reparação ou compensação e a apresentar à APD uma confirmação escrita de que as referidas medidas foram tomadas (123). Em caso de não seguimento do aconselhamento prestado pela APD, a APD remeterá esses casos para o DoC (que pode retirar organizações da lista de QPD UE-EUA) ou, com vista a eventuais medidas coercivas, para a FTC ou o DoT (a não cooperação com as APD ou a violação dos princípios é passível de recurso ao abrigo da legislação dos EUA) (124).

(74)

Para facilitar a cooperação para um tratamento eficaz das queixas, tanto o DoC como a FTC criaram um ponto de contacto específico responsável pela ligação direta com as APD (125). Esses pontos de contacto assistem nas consultas das APD relativas ao cumprimento dos princípios por parte de uma organização.

(75)

O aconselhamento prestado pelas APD (126) é emitido após ter sido dada a ambas as partes envolvidas uma oportunidade razoável para apresentar observações e fornecer todas as informações sobre as provas que considerem necessárias. O painel pode prestar aconselhamento o mais rapidamente possível, dentro dos limites processuais permitidos, regra geral, nos 60 dias seguintes à receção da queixa (127). Se uma organização não aplicar o conselho da APD no prazo de 25 dias, sem apresentar uma razão válida para o atraso, o painel pode comunicar a sua intenção de submeter o caso à FTC (ou a outra autoridade de execução competente dos EUA), ou de concluir que o compromisso de cooperação foi seriamente violado. Na primeira alternativa, esta situação poderá conduzir a medidas de execução com base na secção 5 da FTC Act (ou lei semelhante) (128). Na segunda alternativa, o painel informará o Department of Commerce, que considerará a recusa da organização de cumprir o conselho do painel como um incumprimento persistente conducente à supressão da organização da lista do QPD.

(76)

Se a APD à qual a queixa foi apresentada não tomar medidas ou tomar medidas insuficientes para a sua resolução, o queixoso tem a possibilidade de contestar tal (in)ação junto dos tribunais nacionais do respetivo Estado-Membro da UE.

(77)

Os cidadãos também podem apresentar queixas às APD, mesmo quando o painel das APD não tiver sido designado como organismo de resolução de litígios de uma organização. Nestes casos, a APD pode remeter essas queixas para o Department of Commerce ou para a FTC. Para facilitar e reforçar a cooperação em questões relacionadas com queixas individuais e com o incumprimento por parte das organizações aderentes ao QPD UE-EUA, o DoC criará um ponto de contacto específico que servirá de ponto de ligação com as APD e assisti-las-à nas investigações sobre o cumprimento dos princípios por parte de uma organização (129). Do mesmo modo, a FTC comprometeu-se a criar um ponto de contacto específico (130).

(78)

Em quarto lugar, o DoC comprometeu-se a receber, verificar e envidar os melhores esforços para resolver queixas sobre o incumprimento dos princípios por parte de uma organização (131). Para esse efeito, o DoCprevê procedimentos especiais para que as APD reenviem queixas a um ponto de contacto dedicado, procedam ao seu rastreio e acompanhem as organizações a fim de facilitar a resolução (132). Com o intuito de acelerar o tratamento de queixas individuais, o ponto de contacto estabelece um contacto direto com a respetiva APD sobre questões de conformidade e, em especial, mantém-na atualizada sobre o estado das queixas num prazo máximo de 90 dias após a apresentação da queixa (133). Tal permite que os titulares de dados apresentem queixas de incumprimento imputadas a organizações do QPD UE-EUA diretamente à sua APD nacional e que estas sejam transmitidas ao Department of Commerce enquanto organização norte-americana que administra o QPD UE-EUA.

(79)

Se, com base nas suas verificações sistemáticas, queixas ou quaisquer outras informações, o DoC concluir que uma organização não cumpriu de forma persistente os princípios, deve proceder à supressão da referida organização da lista do QPD (134). A recusa em cumprir uma decisão final de qualquer organização de autorregulação em matéria de proteção da privacidade, organismo independente de resolução de litígios ou entidade pública, incluindo a APD, deve ser considerada um incumprimento persistente (135).

(80)

Em quinto lugar, uma organização do QPD UE-EUA deve estar sujeita à competência das autoridades norte-americanas, em especial da FTC (136), que tenham os poderes de investigação e execução necessários para assegurar o cumprimento efetivo dos princípios. A FTC dá prioridade às queixas de incumprimento dos princípios apresentadas por organismos independentes de resolução de litígios ou de autorregulação, pelo DoC e pelas APD (por iniciativa própria ou após a receção de queixas) a fim de determinar se a secção 5 da FTC Act (lei relativa à Comissão reguladora do comércio federal) foi violada (137). A FTC comprometeu-se a criar um processo de transmissão de queixas normalizado, a designar um ponto de contacto no organismo para a receção de queixas das APD e a proceder ao intercâmbio de informações sobre as mesmas. Além disso, pode aceitar queixas diretamente dos cidadãos e proceder a investigações no âmbito do QPD UE-EUA por iniciativa própria, nomeadamente como parte da sua investigação em maior escala sobre questões relacionadas com a privacidade.

(81)

Em sexto lugar, enquanto mecanismo de «último recurso», caso nenhuma das restantes vias de recurso tenha resolvido a queixa de forma satisfatória, o titular de dados da União pode invocar arbitragem vinculativa pelo Comité do Quadro de Privacidade de Dados UE-EUA (Comité do QPD UE-EUA) (138). As organizações devem informar os cidadãos sobre a possibilidade de invocar a arbitragem vinculativa e são obrigadas a responder quando os cidadãos por ela optem, devendo informar a organização em causa (139).

(82)

Este Comité do QPD UE-EUA é constituído por um grupo de, pelo menos, dez árbitros que são designados pelo Department of Commerce e pela Comissão com base na sua independência e integridade, bem como na sua experiência na legislação dos EUA em matéria de privacidade e na legislação da União em matéria de proteção de dados. Para cada litígio, as partes selecionam a partir deste grupo um conjunto de um ou três (140) árbitros.

(83)

O Department of Commerce escolheu o International Centre for Dispute Resolution (ICDR), a divisão internacional da American Arbitration Association (AAA), para administrar as arbitragens. Os procedimentos perante o Comité do QPD UE-EUA reger-se-ão por um conjunto de regras de arbitragem acordadas e por um código de conduta aplicável aos árbitros nomeados. O sítio Web do ICDR-AAA fornece informações claras e concisas aos cidadãos sobre o mecanismo de arbitragem e o procedimento para apresentar um pedido de arbitragem.

(84)

As regras de arbitragem acordadas entre o Department of Commerce e a Comissão complementam o QPD UE-EUA, que contém várias características que melhoram a acessibilidade deste mecanismo para os titulares dos dados da União: i) na preparação de uma queixa a apresentar junto do comité, o titular de dados pode ser assistido pela sua APD nacional; ii) embora a arbitragem ocorra nos Estados Unidos, os titulares de dados da UE podem optar por participar através de videoconferência ou conferência telefónica, que deve ser fornecida sem custos para o titular dos dados; iii) embora a língua utilizada na arbitragem seja, regra geral, o inglês, a interpretação na audiência arbitral e a tradução podem, em princípio ser fornecidas mediante pedido fundamentado e sem custos para o titular dos dados; iv) por último, embora cada parte tenha de suportar os honorários do próprio advogado, se for representada por um advogado perante o comité, o DoC criará um fundo alimentado por contribuições anuais das organizações aderentes ao QPD UE-EUA, destinadas a cobrir os custos elegíveis do procedimento arbitral até aos montantes máximos a determinar pelas autoridades dos EUA em consulta com a Comissão (141).

(85)

O Comité do QPD UE-EUA tem competência para aplicar as «medidas equitativas, específicas do titular dos dados e não pecuniárias» (142) necessárias para corrigir o incumprimento dos princípios. Embora o comité tome em consideração outras reparações já obtidas através de outros mecanismos do QPD UE-EUA ao proferir a sua decisão, os cidadãos podem recorrer à arbitragem se considerarem que estas outras reparações são insuficientes. Tal permite que os titulares de dados da União invoquem a arbitragem em todos os casos nos quais a ação ou inação de organizações do QPD UE-EUA, mecanismos de recurso independentes ou as autoridades competentes dos EUA (por exemplo, a FTC), não tenha resolvido as suas queixas de forma satisfatória. Não é possível invocar a arbitragem se uma APD tiver autoridade jurídica para resolver a queixa em questão no que se refere à organização do QPD UE-EUA, nomeadamente nos casos em que esta organização é obrigada a cooperar e a respeitar o aconselhamento das APD no respeitante ao tratamento de dados relativos a recursos humanos ou se tiver comprometido voluntariamente a tal. Os cidadãos podem solicitar a execução da decisão de arbitragem aos tribunais dos EUA ao abrigo da Federal Arbitration Act (lei relativa à arbitragem federal), garantindo assim um recurso jurídico em caso de incumprimento por parte de uma organização.

(86)

Em sétimo lugar, quando uma organização não cumpre o seu compromisso de respeitar os princípios e a política de privacidade publicada, a legislação dos EUA prevê vias de recurso judicial adicionais, nomeadamente a possibilidade de obter uma indemnização por danos. Por exemplo, os cidadãos podem, em determinadas condições, obter reparação judicial (incluindo indemnização por danos) nos termos da legislação estatal em matéria de defesa do consumidor em processos relativos a declarações fraudulentas, atos ou práticas desleais ou enganosas (143) e nos termos do direito civil (em especial, no âmbito dos delitos de ingerência na vida privada (144), apropriação de nome ou imagem (145) e divulgação pública de factos privados (146)).

(87)

Em conjunto, as várias vias de recurso acima descritas garantem que cada reclamação relativa ao incumprimento do QPD UE-EUA por parte de organizações certificadas será efetivamente tratada e corrigida.

(88)

A Comissão avaliou igualmente as limitações e garantias, incluindo a supervisão e os mecanismos individuais de recurso previstos pelo direito dos EUA, no tocante à recolha e utilização subsequente pelas autoridades públicas norte-americanas de dados pessoais transferidos para responsáveis pelo tratamento e subcontratantes nos EUA, para fins de interesse público, designadamente para efeitos de aplicação do direito penal e de segurança nacional («acesso governamental») (147). Ao avaliar se as condições em que o governo acede aos dados transferidos para os Estados Unidos nos termos da presente decisão cumprem o teste de «equivalência essencial» em conformidade com o previsto pelo artigo 45.o, n.o 1, do Regulamento (UE) 2016/679, conforme interpretado pelo Tribunal de Justiça, à luz da Carta dos Direitos Fundamentais, a Comissão teve em conta os critérios apresentados infra.

(89)

Em especial, qualquer restrição ao direito de proteção de dados pessoais deve ser prevista por lei, o que implica que a própria base jurídica que permite a interferência nesse direito deve definir o alcance da restrição no exercício do direito em causa (148). Além disso, para satisfazer o requisito da proporcionalidade, segundo o qual as derrogações à proteção de dados pessoais e as suas restrições devem ocorrer na estrita medida do necessário numa sociedade democrática para responder a objetivos específicos de interesse geral equivalentes aos reconhecidos pela União, esta base jurídica deve estabelecer regras claras e precisas que regulem o alcance e o âmbito de aplicação das medidas em causa e imponham requisitos mínimos para que os cidadãos cujos dados foram transferidos disponham de garantias suficientes que permitam proteger eficazmente os seus dados pessoais contra os riscos de abuso (149). Além disso, estas regras e garantias devem ser juridicamente vinculativas e poder ser aplicadas pelos cidadãos (150). Em particular, os titulares de dados devem dispor da possibilidade de recorrer a medidas jurídicas corretivas eficazes num tribunal independente e imparcial, para ter acesso a dados pessoais que lhes digam respeito ou para obter a retificação ou a supressão desses dados (151).

(90)

No que diz respeito à ingerência nos dados pessoais transferidos no âmbito do QPD UE-EUA para efeitos de aplicação do direito penal, a legislação dos Estados Unidos impõe uma série de limitações ao acesso e à utilização de dados pessoais e prevê mecanismos de supervisão e recurso em conformidade com os requisitos referidos no considerando 89 da presente decisão. Os pontos seguintes descrevem as condições nas quais esse acesso pode ser efetuado e as garantias aplicáveis à utilização desses poderes. A este respeito, o Governo dos EUA [por intermédio do Department of Justice (DOJ)] também forneceu garantias sobre as limitações e garantias aplicáveis (anexo VI da presente decisão).

(91)

Os procuradores federais e os agentes federais de investigação podem aceder, no contexto de diferentes procedimentos explicados mais circunstanciadamente nos considerandos 90 a 99, aos dados pessoais tratados por organizações norte-americanas certificadas e transferidos da União com base no QPD UE-EUA. Estes procedimentos aplicam-se da mesma forma quando a informação é obtida de qualquer organização norte-americana, independentemente da nacionalidade ou do local de residência dos titulares dos dados (152).

(92)

Em primeiro lugar, a pedido de um agente federal responsável pela aplicação da lei ou de um advogado do governo, um juiz pode emitir um mandado de busca ou apreensão (incluindo de informações eletronicamente armazenadas) (153). Esse mandado só pode ser emitido se existir uma «causa provável» (154) de que os «objetos apreensíveis» (provas de um crime, objetos detidos ilegalmente ou bens concebidos ou destinados a serem utilizados ou usados para cometer um crime) são suscetíveis de ser encontrados no local especificado no mandado. O mandado deve indicar os bens ou os objetos a apreender e designar o juiz ao qual o mandado deve ser devolvido. Um cidadão sujeito a uma busca ou cujos bens sejam objeto de busca pode apresentar um pedido de supressão das provas obtidas ou derivadas de uma busca ilegal, caso essas provas sejam apresentadas contra esse cidadão durante um processo penal (155). Quando um detentor dos dados (por exemplo, uma empresa) for obrigado a divulgar dados no âmbito de um mandado, pode contestar o requisito de divulgação por ser excessivamente oneroso (156).

(93)

Em segundo lugar, no contexto de investigações de determinados crimes graves (157), geralmente a pedido de um procurador federal, um júri (um ramo de investigação do tribunal reunido por um juiz ou magistrado) pode emitir uma intimação para exigir que um cidadão apresente ou disponibilize documentação empresarial, informações eletronicamente armazenadas ou outros elementos tangíveis. Além disso, várias leis autorizam a utilização de intimações administrativas para a apresentação ou disponibilização de documentação empresarial, informações eletronicamente armazenadas ou outros elementos tangíveis em investigações relativas a casos de fraude nos serviços de saúde, abuso de crianças, proteção dos serviços secretos, substâncias controladas e investigações dos inspetores-gerais que impliquem organismos do governo (158). Em ambos os casos, as informações devem ser pertinentes para a investigação e a intimação não pode ser pouco razoável, ou seja, demasiado abrangente, opressiva ou onerosa (e pode ser contestada pelo destinatário da intimação com base nesses motivos) (159).

(94)

Aplicam-se condições muito semelhantes às intimações administrativas emitidas para obter acesso a dados detidos por empresas nos EUA para fins civis ou regulamentares («interesse público»). A autoridade das agências com responsabilidades civis e regulamentares para emitir tais intimações administrativas deve ser estabelecida por lei. O recurso a uma intimação administrativa está sujeito a um «teste de razoabilidade», que exige que a investigação seja conduzida com um objetivo legítimo, que as informações solicitadas no âmbito da intimação sejam relevantes para esse efeito, que a agência não disponha já das informações que procura obter com a intimação e que tenham sido seguidas as diligências administrativas necessárias para a emitir (160). A jurisprudência do Supremo Tribunal também clarificou a necessidade de equilibrar a importância do interesse público nas informações solicitadas com a importância dos interesses pessoais e organizacionais em matéria de privacidade (161). Embora a utilização de uma intimação administrativa não esteja sujeita a aprovação judicial prévia, fica sujeita a controlo judicial em caso de contestação pelo destinatário pelos motivos acima referidos, ou se o organismo emissor pretender executar a intimação em tribunal (162). Para além destas limitações gerais, podem decorrer requisitos específicos (mais rigorosos) de leis específicas (163).

(95)

Em terceiro lugar, várias bases jurídicas permitem às autoridades responsáveis pela aplicação do direito penal obter acesso a dados de comunicações. Um tribunal pode proferir uma decisão que autorize a recolha, em tempo real, de informações, não relativas ao conteúdo, sobre marcação, encaminhamento, endereçamento e sinalização de um número de telefone ou de um endereço de correio eletrónico (através da utilização de um dispositivo de registo de chamadas telefónicas e comunicações eletrónicas), se considerar que a autoridade certificou que as informações suscetíveis de serem obtidas são pertinentes para uma investigação criminal em curso (164). A decisão deve, entre outros elementos, especificar a identidade, se conhecida, do suspeito, os atributos das comunicações às quais é aplicável a decisão e a declaração da infração a que se referem as informações a recolher. A utilização de um dispositivo de registo de chamadas telefónicas e comunicações eletrónicas pode ser autorizada por um período máximo de 60 dias, que só pode ser prorrogado mediante uma nova decisão judicial.

(96)

Além disso, o acesso, para fins de aplicação do direito penal, às informações sobre assinantes, aos dados de tráfego e ao conteúdo armazenado de comunicações detidos por prestadores de serviços de Internet, companhias telefónicas e outros prestadores de serviços pode ser obtido com base na Stored Communications Act (165). Para obter o conteúdo armazenado de comunicações eletrónicas as autoridades responsáveis pela aplicação do direito penal devem, em princípio, obter um mandado de um juiz com base numa causa provável para considerar que a conta em questão contém provas de um crime (166). Para obter acesso às informações de registo dos assinantes, a endereços IP e aos carimbos temporais associados, bem como a informações sobre faturação, as autoridades responsáveis pela aplicação do direito penal podem usar uma intimação. Para a restante informação armazenada não relativa ao conteúdo, como mensagens de endereço eletrónico sem assunto, uma autoridade responsável pela aplicação do direito penal deve obter uma decisão judicial, que é emitida se o juiz achar que existem motivos razoáveis para considerar que as informações solicitadas são pertinentes e significativas para uma investigação penal em curso.

(97)

Os prestadores que recebam pedidos nos termos da Stored Communications Act podem notificar, a título voluntário, um cliente ou um assinante cujas informações sejam solicitadas, salvo quando a autoridade responsável pela aplicação do direito penal competente obtenha uma decisão cautelar que proíba essa notificação (167). Essa decisão cautelar é uma decisão judicial que exige que um prestador de serviços de comunicações eletrónicas ou de serviços de computação à distância a quem é dirigido um mandado, uma intimação ou uma decisão judicial não notifique qualquer outro cidadão da existência do mandado, da intimação ou da decisão judicial, durante o tempo que o tribunal considerar adequado. As decisões cautelares só são emitidas se o tribunal considerar que há razões para crer que a notificação pode prejudicar gravemente uma investigação ou adiar um julgamento de modo indevido, por exemplo, porque pode pôr em perigo a vida ou a segurança física de um cidadão, conduzir à fuga à justiça, intimidar potenciais testemunhas, etc. Um memorando do Deputy Attorney General (vinculativo para todos os advogados e agentes do DoJ) exige que os procuradores formulem uma decisão pormenorizada relativa à necessidade de uma decisão cautelar e que apresentem uma justificação ao tribunal sobre a forma como os critérios legais para a obtenção de uma decisão cautelar são cumpridos no processo específico (168). O memorando exige também que os pedidos de decisões cautelares não podem, em geral, adiar a notificação por mais de um ano. Nos casos em que, em circunstâncias excecionais, possam ser necessárias decisões cautelares de duração mais longa, essas decisões só podem ser solicitadas com o acordo escrito de um supervisor designado pelo Attorney General dos EUA ou pelo Assistant Attorney General competente. Além disso, um procurador deve, aquando do encerramento de uma investigação, avaliar imediatamente se existe uma base para manter efetivas quaisquer decisões cautelares e, se tal não for o caso, suspender a decisão cautelar e assegurar que o prestador de serviços é notificado do facto (169).

(98)

As autoridades responsáveis pela aplicação do direito penal podem também intercetar comunicações por cabo, orais ou eletrónicas em tempo real com base numa decisão judicial em que um juiz considere, nomeadamente, que existe uma causa provável para considerar que a escuta ou interceção eletrónica produzirá provas de um crime federal ou da localização de um fugitivo que foge à justiça (170).

(99)

O DoJ fornece outras proteções no âmbito de várias políticas e orientações, incluindo as orientações do Attorney General sobre as operações nacionais do FBI (AGG-DOM), que, entre outros aspetos, exigem que o Federal Bureau of Investigation utilize os métodos de investigação menos intrusivos possíveis, tendo em conta o efeito na privacidade e nas liberdades cívicas (171).

(100)

Segundo as declarações apresentadas pelo governo dos EUA, são aplicáveis as mesmas proteções ou mais elevadas descritas anteriormente às investigações das autoridades com funções coercivas a nível estadual (no que se refere às investigações levadas a cabo no âmbito das leis estaduais) (172). Em especial, disposições constitucionais, bem como regulamentos e jurisprudência estaduais, reafirmam as proteções acima referidas contra buscas e apreensões não razoáveis, ao exigir a emissão de um mandado de busca (173). À semelhança das proteções concedidas a nível federal, os mandados de busca só podem ser emitidos mediante a demonstração de uma causa provável e devem descrever o local a ser revistado e a pessoa ou coisa a apreender (174).

(101)

No que se refere à utilização subsequente de dados recolhidos pelas autoridades federais responsáveis pela aplicação do direito penal, diferentes leis, orientações e normas impõem garantias específicas. Com exceção dos instrumentos específicos aplicáveis às atividades do FBI (AGG-DOM e FBI Domestic Investigations and Operations Guide), os requisitos descritos na presente secção aplicam-se geralmente à utilização posterior de dados por qualquer autoridade federal, incluindo os dados acedidos para fins civis ou regulamentares. Aqui se incluem os requisitos decorrentes das notas/regulamentos do Office of Management and Budget, da Federal Information Security Management Modernization Act, da E-Government Act e da Federal Records Act.

(102)

De acordo com a autoridade prevista pela Clinger-Cohen Act (P.L. 104-106, secção E) e pela Computer Security Act de 1987 (P.L. 100-235), o Office of Management and Budget (OMB) emitiu a Circular n.o A-130 para estabelecer orientações gerais vinculativas aplicáveis a todas as agências federais (incluindo as autoridades responsáveis pela aplicação da lei) quando estas lidam com informações pessoais identificáveis (175). Em especial, a circular exige que todas as agências federais «limitem a criação, a recolha, a utilização, o tratamento, o armazenamento, a manutenção, a disseminação e a divulgação de informações pessoais identificáveis às que são autorizadas por lei, pertinentes e razoavelmente consideradas necessárias para a execução adequada das funções autorizadas da agência» (176). Além disso, na medida do razoavelmente praticável, as agências federais devem assegurar que as informações pessoais identificáveis são exatas, pertinentes, atuais e completas e reduzidas ao mínimo necessário para a execução adequada das funções de uma agência. Em termos mais gerais, as agências federais devem estabelecer um programa de privacidade abrangente para garantir o cumprimento dos requisitos de privacidade aplicáveis, desenvolver e avaliar políticas de privacidade e gerir os riscos para a privacidade, manter procedimentos para detetar, documentar e comunicar situações de incumprimento da privacidade, desenvolver programas de sensibilização e formação em matéria de privacidade destinados aos funcionários e contratantes e adotar políticas e procedimentos para assegurar que o pessoal é responsabilizado pelo cumprimento dos requisitos e políticas de privacidade (177).

(103)

Além disso, a E-Government Act (178) exige que todas as agências federais (incluindo as autoridades responsáveis pela aplicação do direito penal) apliquem proteções de segurança da informação proporcionais ao risco e à magnitude dos danos que resultariam do acesso, utilização, divulgação, perturbação, alteração ou destruição não autorizados e tenham um Chief Information Officer para assegurar o cumprimento dos requisitos de segurança da informação e efetuar uma avaliação anual independente (por exemplo, por um inspetor-geral, ver considerando 109) do seu programa e práticas de segurança da informação (179). Do mesmo modo, a Federal Records Act (FRA) (180) e os regulamentos complementares (181) exigem que as informações detidas pelas agências federais estejam sujeitas a garantias que assegurem a integridade física das informações e que as protejam contra o acesso não autorizado.

(104)

Em conformidade com a legislação federal, em especial a Federal Information Security Modernisation Act de 2014, o OMB e o National Institute of Standards and Technology (NIST) desenvolveram normas vinculativas aplicáveis às agências federais (incluindo as autoridades responsáveis pela aplicação do direito penal), que especificam os requisitos mínimos de segurança da informação que têm de ser aplicados, nomeadamente controlos de acesso, garantia da realização de campanhas de sensibilização e de ações de formação, planeamento de contingência, resposta a incidentes, ferramentas de auditoria e responsabilização, garantia da integridade do sistema e da informação, realização de avaliações dos riscos em matéria de privacidade e segurança, etc. (182). Além disso, todas as agências federais (incluindo as autoridades responsáveis pela aplicação do direito penal) devem, em conformidade com as orientações do OMB, manter e aplicar um plano para gerir violações de dados, nomeadamente no que diz respeito à resposta a essas violações e à avaliação dos riscos de danos (183).

(105)

No que respeita à conservação de dados, a FRA (184) exige que as agências federais norte-americanas (incluindo as autoridades responsáveis pela aplicação do direito penal) fixem períodos de conservação para os seus registos (após os quais esses registos devem ser eliminados), que devem ser aprovados pela National Archives and Record Administration (185). A duração destes períodos de conservação é fixada tendo em conta diferentes fatores, como o tipo de investigação, se as provas ainda são pertinentes para a investigação, etc. No que diz respeito ao FBI, as AGG-DOM estabelecem que o FBI deve ter em vigor um plano de conservação de registos e manter um sistema que permita recuperar rapidamente o estado e a base das investigações.

(106)

Por último, a Circular n.o A-130 do OMB também contém determinados requisitos em matéria de divulgação de informações pessoais identificáveis. Em princípio, a divulgação e a comunicação de informações pessoais identificáveis devem limitar-se ao que é legalmente autorizado, pertinente e razoavelmente considerado necessário para o bom desempenho das funções de uma agência (186). Quando partilham informações pessoais identificáveis com outras entidades governamentais, as agências federais norte-americanas devem impor, se for caso disso, condições (incluindo a aplicação de controlos de segurança e privacidade específicos) que regulem o tratamento das informações através de acordos escritos (nomeadamente contratos, acordos de utilização de dados, acordos de intercâmbio de informações e memorandos de entendimento) (187). No que diz respeito aos motivos com base nos quais as informações podem ser divulgadas, o AGG-DOM e o Domestic Investigations and Operations Guide do FBI (188), por exemplo, que o FBI pode estar sujeito a uma obrigação legal de o fazer (por exemplo, ao abrigo de um acordo internacional) ou está autorizado a divulgar informações em determinadas circunstâncias, por exemplo, a outras agências dos EUA, se a divulgação for compatível com a finalidade para a qual as informações foram recolhidas e estiver relacionada com as suas responsabilidades; às comissões do Congresso; a agências estrangeiras, se a informação estiver relacionada com as suas responsabilidades e a divulgação for coerente com os interesses dos Estados Unidos; a divulgação for, nomeadamente, necessária para proteger a segurança de pessoas ou bens, ou para proteger ou prevenir um crime ou ameaça à segurança nacional e a sua divulgação for compatível com a finalidade para a qual as informações foram recolhidas (189).

(107)

As atividades das agências federais responsáveis pela aplicação do direito penal estão sujeitas à supervisão de vários organismos (190). Tal como se explica nos considerandos 92 a 99, tal inclui, na maioria dos casos, um controlo judicial prévio para autorizar as medidas de recolha antes de as executar. Além disso, outros organismos supervisionam as diferentes fases das atividades das autoridades responsáveis pela aplicação do direito penal, incluindo a recolha e o tratamento de dados pessoais. Em conjunto, estes organismos judiciais e extrajudiciais asseguram que as autoridades responsáveis pela aplicação da lei estão sujeitas a uma supervisão independente.

(108)

Em primeiro lugar, existem agentes responsáveis pela proteção da privacidade e das liberdades cívicas em vários departamentos com responsabilidades no domínio da aplicação do direito penal (191). Embora os poderes específicos destes agentes possam variar um pouco em função do estatuto de autorização, habitualmente englobam a supervisão dos procedimentos a fim de assegurar que o respetivo departamento/organismo tem em devida consideração a proteção da privacidade e das liberdades cívicas e instaurou procedimentos adequados para a resolução de queixas de pessoas que consideram que a sua privacidade ou liberdades cívicas foram violadas. Os diretores de cada departamento ou serviço devem assegurar que os agentes responsáveis pela proteção da privacidade e das liberdades cívicas dispõem do material e dos recursos necessários para cumprir o seu mandato, têm acesso a todo o material e pessoal necessários para o exercício das suas funções e são informados e consultados sobre as alterações políticas propostas (192). Os agentes responsáveis pela proteção da privacidade e das liberdades cívicas comunicam periodicamente ao Congresso, designadamente sobre o número e a natureza das queixas recebidas pelo departamento/organismo, bem como um resumo dessas queixas, as análises efetuadas e as questões colocadas e ainda o impacto das atividades levadas a cabo pelo agente (193).

(109)

Em segundo lugar, um inspetor-geral independente supervisiona as atividades do Department of Justice, incluindo o FBI (194). Os inspetores-gerais são juridicamente independentes (195) e responsáveis pela realização de investigações, auditorias e inspeções independentes dos programas e operações do departamento. Podem aceder a todos os registos, relatórios, auditorias, revisões, documentos, recomendações ou outros materiais pertinentes, através de intimações, se necessário, e podem recolher depoimentos (196). Embora os inspetores-gerais emitam recomendações não vinculativas sobre medidas corretivas, os seus relatórios, em especial sobre medidas de acompanhamento (ou a sua inexistência) (197) são geralmente tornados públicos e transmitidos ao Congresso que pode, com base neles, exercer a sua função de supervisão (ver considerando 111) (198).

(110)

Em terceiro lugar, na medida em que levam a cabo atividades de luta contra o terrorismo, os departamentos com responsabilidades em matéria de aplicação do direito penal estão sujeitos à supervisão do Privacy and Civil Liberties Oversight Board (PCLOB), uma agência independente do poder executivo composta por um conselho bipartidário de cinco membros nomeados pelo Presidente por um mandato fixo de seis anos com aprovação do Senado (199). De acordo com o seu estatuto constitutivo, a PCLOB tem responsabilidades no domínio das políticas de luta contra o terrorismo e da sua aplicação, com vista à proteção da privacidade e das liberdades cívicas. Na sua análise, pode aceder a todos os registos, relatórios, auditorias, análises, documentos e recomendações dos serviços de informações pertinentes, nomeadamente informações classificadas, realizar entrevistas e recolher depoimentos (200). Recebe relatórios dos agentes responsáveis pela proteção da privacidade e das liberdades cívicas de vários departamentos/serviços federais (201), pode emitir recomendações às autoridades governamentais e às autoridades responsáveis pela aplicação da lei, e informa regularmente os comités do Congresso e ao Presidente (202). Os relatórios do conselho, incluindo os que são apresentados ao Congresso, devem ser, na medida do possível, disponibilizados ao público (203).

(111)

Por último, as atividades de aplicação do direito penal estão sujeitas à supervisão de comités específicos do Congresso dos EUA (os House and Senate Judiciary Committees). Os Judiciary Committees exercem uma supervisão regular de diferentes formas, nomeadamente através de audições, investigações, análises e relatórios (204).

(112)

Tal como referido, as autoridades responsáveis pela aplicação do direito penal devem, na maioria dos casos, obter uma autorização judicial prévia para recolher dados pessoais. Embora tal não seja exigido para as intimações administrativas, estas são limitadas a situações específicas e estão sujeitas a um controlo jurisdicional independente, pelo menos quando o governo procura obter a sua aplicação em tribunal. Em especial, os destinatários de intimações administrativas podem contestá-las em tribunal alegando que não são razoáveis, ou seja, que são demasiado abrangentes, opressivas ou onerosas (205).

(113)

As pessoas singulares podem, em primeiro lugar, apresentar pedidos ou queixas às autoridades responsáveis pela aplicação do direito penal relativamente ao tratamento dos seus dados pessoais. Aqui se inclui a possibilidade de solicitar o acesso aos dados pessoais e a sua correção (206). No que diz respeito às atividades relacionadas com a luta contra o terrorismo, as pessoas singulares podem também apresentar queixa junto dos responsáveis pela proteção da privacidade e das liberdades cívicas (ou outros funcionários responsáveis pela proteção da privacidade) junto das autoridades responsáveis pela aplicação da lei (207).

(114)

Além disso, a legislação dos EUA prevê um certo número de vias de recurso judiciais para os cidadãos, contra as autoridades públicas ou um dos seus funcionários, quando estas autoridades tratam dados pessoais (208). Estas vias, que incluem especialmente a APA, a Freedom of Information Act (FOIA) e a Electronic Communications Privacy Act (ECPA), estão abertas a todos cidadãos independentemente da sua nacionalidade, sem prejuízo de quaisquer condições aplicáveis.

(115)

Em geral, nos termos das disposições relativas a um recurso judicial da APA, (209) qualquer pessoa que sofra um prejuízo resultante de uma decisão de uma agência ou que é afetada ou lesada pela decisão de uma agência, pode interpor um recurso judicial (210). Tal inclui a possibilidade de solicitar ao tribunal «que declare ilegais e anule a atuação, os resultados e as conclusões da agência, que se venham a verificar [...] arbitrários, caprichosos, um abuso de poder, ou de outro modo não conformes ao direito» (211).

(116)

Mais especificamente, o título II da ECPA (212) estabelece um sistema de direitos à privacidade e, como tal, rege o acesso das autoridades com funções coercivas ao conteúdo das comunicações por fios, orais e eletrónicas armazenadas por fornecedores terceiros de serviços (213). Criminaliza o acesso ilegal (ou seja, não autorizado pelo tribunal ou admissível de outro modo) a essas comunicações e prevê que um cidadão que se considere lesado possa intentar uma ação cível num tribunal federal dos EUA para obter reparação por perdas e danos, bem como uma compensação equitativa contra um funcionário do governo que tenha cometido intencionalmente esses atos ilegais, ou contra os Estados Unidos.

(117)

Além disso, várias outras leis garantem aos cidadãos o direito de intentar um processo contra uma autoridade pública ou um funcionário americano no que diz respeito ao tratamento dos seus dados pessoais, como a Wiretap Act (214), a Computer Fraud and Abuse Act (215), a Federal Torts Claim Act (216), a Right to Financial Privacy Act (217), e a Fair Credit Reporting Act (218).

(118)

Além disso, nos termos da FOIA (219), 5 U.S.C. § 552, qualquer pessoa tem o direito de obter acesso aos registos das agências federais, incluindo quando estes contenham os dados da pessoa em causa. Depois de esgotadas as vias de recurso administrativas, uma pessoa pode invocar esse direito de acesso em tribunal, a menos que esses registos estejam protegidos contra a divulgação pública por uma isenção ou uma exclusão especial das autoridades responsáveis pela aplicação da lei (220). Neste caso, o tribunal apreciará se alguma isenção se aplica ou se foi legalmente invocada pela autoridade pública competente.

(119)

O direito da dos Estados Unidos contém várias limitações e garantias no que respeita ao acesso e à utilização de dados pessoais para efeitos de segurança nacional, e prevê mecanismos de recurso e supervisão neste domínio, que estão em conformidade com os requisitos referidos no considerando 89 da presente decisão. Os pontos seguintes descrevem as condições nas quais esse acesso pode ser efetuado e as garantias aplicáveis à utilização desses poderes.

(120)

Os dados pessoais transferidos da União para as organizações do QPD UE-EUA podem ser recolhidos pelas autoridades norte-americanas para fins de segurança nacional com base em diferentes instrumentos jurídicos, sob reserva de condições e garantias específicas.

(121)

Uma vez recebidos dados pessoais por organizações localizadas nos Estados Unidos, os serviços de informações dos EUA só podem solicitar o acesso a esses dados para fins de segurança nacional se tal for autorizado por lei, especificamente ao abrigo da Foreign Intelligence Surveillance Act (FISA) ou de disposições legais que autorizem o acesso mediante requerimentos de segurança nacional (National Security Letters) (221). A FISA contém várias bases jurídicas que podem ser utilizadas para recolher (e posteriormente tratar) os dados pessoais de titulares dos dados da União transferidos no âmbito do QPD UE-EUA (secção 105 (222) da FISA, secção 302 da FISA (223), secção 402 da FISA (224), secção 501 da FISA (225) e secção 702 da FISA (226)), tal como descrito mais circunstanciadamente nos considerandos 135 a 152.

(122)

Os serviços de informações dos EUA também têm a possibilidade de recolher dados pessoais fora dos Estados Unidos, que podem incluir dados pessoais em trânsito entre a União e os Estados Unidos. A recolha fora dos Estados Unidos baseia-se no Executive Order 12333 (EO 12333) (227), emitido pelo Presidente (228).

(123)

A recolha de informação de origem eletromagnética é a forma de recolha de informações mais relevante para a presente verificação de adequação, uma vez que diz respeito à recolha de comunicações eletrónicas e de dados de sistemas de informação. Essa recolha pode ser efetuada pelos serviços de informações dos EUA nos Estados Unidos (com base na FISA) e enquanto os dados estão em trânsito para os Estados Unidos (com base no EO 12333).

(124)

Em 7 de outubro de 2022, o presidente dos EUA emitiu o EO 14086 sobre o reforço das garantias para a informação de origem eletromagnética dos Estados Unidos, que estabelece limitações e garantias aplicáveis a todas as atividades de informação de origem eletromagnética dos EUA. O EO substitui, em grande medida, a Presidential Policy Directive (PPD 28) (229), reforça as condições, as limitações e as garantias aplicáveis a todas as atividades de informação de origem eletromagnética (isto é, com base na FISA e no EO 12333), independentemente do local onde tenham lugar (230), e cria um novo mecanismo de recurso através do qual os cidadãos (231) podem invocar e aplicar estas garantias (ver informações mais pormenorizadas nos considerandos 176 a 194). Ao fazê-lo, transpõe, para o direito dos EUA, o resultado das conversações que tiveram lugar entre a UE e os EUA na sequência da invalidação da decisão de adequação da Comissão relativa ao Escudo de Proteção da Privacidade pelo Tribunal de Justiça (ver considerando 6), pelo que é um elemento particularmente importante do quadro jurídico avaliado na presente decisão.

(125)

As limitações e salvaguardas introduzidas pelo EO 14086 complementam as previstas na secção 702 do FISA e na secção 12333 do EO. Os requisitos a seguir descritos (nas secções 3.2.1.2 e 3.2.1.3) devem ser aplicados pelos serviços de informações quando realizam atividades de informação de origem eletromagnética nos termos da secção 702 da FISA e da secção 12333 do EO, por exemplo, quando selecionam/identificam categorias de informações estrangeiras a obter nos termos da secção 702 da FISA; quando recolhem informações estrangeiras ou de contraespionagem nos termos do EO 12333; e quando tomam decisões de seleção de objetivos individuais ao abrigo da secção 702 da FISA e da secção 12333 do EO.

(126)

Os requisitos estabelecidos neste decreto executivo emitido pelo Presidente são vinculativos para todo o setor das informações. Devem ser aplicadas ainda através de políticas e procedimentos das agências que os transponham para orientações concretas aplicáveis às operações quotidianas. A este respeito, o EO 14086 concede aos serviços de informações dos EUA um prazo máximo de um ano para atualizar as suas políticas e procedimentos em vigor (ou seja, até 7 de outubro de 2023), a fim de os tornar conformes com os requisitos constantes do decreto executivo. Essas políticas e procedimentos atualizados têm de ser desenvolvidos em consulta com o Attorney General, com o Civil Liberties Protection Officer do Office of the Director of National Intelligence (CLPO do ODNI) e com a PCLOB — um organismo de supervisão independente autorizado a analisar as políticas do poder executivo e a sua aplicação, com vista a proteger a privacidade e as liberdades cívicas (ver considerando 110 no que se refere ao papel e ao estatuto da PCLOB) — e disponibilizados ao público (232). Além disso, quando as políticas e os procedimentos atualizados estiverem em vigor, a PCLOB procederá a uma análise para garantir a sua coerência com o decreto executivo. No prazo de 180 dias após a conclusão dessa análise pela PCLOB, cada serviço de informações deve considerar cuidadosamente todas as recomendações formuladas pela PCLOB e aplicá-las ou, de outro modo, dar-lhes resposta . Em 3 de julho de 2023, o Governo dos EUA publicou essas políticas e procedimentos atualizados (233).

(127)

O EO 14086 estabelece uma série de ambiciosos requisitos aplicáveis a todas as atividades de informação de origem eletromagnética (recolha, utilização, divulgação, etc. de dados pessoais).

(128)

Em primeiro lugar, essas atividades devem basear-se numa lei ou numa autorização presidencial e ser realizadas em conformidade com o direito dos EUA, nomeadamente a Constituição (234).

(129)

Em segundo lugar, devem existir garantias adequadas para assegurar que a privacidade e as liberdades cívicas são considerações integrais no planeamento de tais atividades (235).

(130)

Em especial, qualquer atividade de informação de origem eletromagnética só pode ser realizada «após a determinação, com base numa avaliação razoável de todos os fatores pertinentes, de que as atividades são necessárias para promover uma prioridade em matéria de informações validada» (no que se refere ao conceito de «prioridade em matéria de informações validada», ver considerando 135) (236).

(131)

Além disso, tais atividades só podem ser realizadas «na medida e de uma forma que seja proporcional à prioridade em matéria de informações validada para a qual foram autorizadas» (237). Dito de outro modo, deve alcançar-se um equilíbrio adequado «entre a importância da prioridade em matéria de informações perseguida e o impacto na privacidade e nas liberdades cívicas dos cidadãos afetados, independentemente da sua nacionalidade ou do local onde residam» (238).

(132)

Por último, para assegurar o respeito destes requisitos gerais — que refletem os princípios da legalidade, da necessidade e da proporcionalidade — as atividades de informação de origem eletromagnética estão sujeitas a supervisão (ver informações mais pormenorizadas na secção 3.2.2) (239).

(133)

Estes requisitos abrangentes são fundamentados mais aprofundadamente no que diz respeito à recolha de informação de origem eletromagnética através de uma série de condições e limitações que asseguram que a ingerência nos direitos dos cidadãos se limita ao necessário e proporcionado para promover um objetivo legítimo.

(134)

Em primeiro lugar, o decreto executivo limita de duas formas os motivos segundo os quais os dados podem ser recolhidos no âmbito das atividades de informação de origem eletromagnética. Por um lado, o decreto executivo fixa os objetivos legítimos suscetíveis de serem concretizados através da recolha de informação de origem eletromagnética, por exemplo, para compreender ou avaliar as capacidades, intenções ou atividades de organizações estrangeiras, nomeadamente organizações terroristas internacionais, que representem uma ameaça atual ou potencial para a segurança nacional dos Estados Unidos, proteger contra capacidades e atividades militares estrangeiras, compreender ou avaliar as ameaças transnacionais que afetam a segurança mundial, como as alterações climáticas e outras alterações ecológicas, riscos para a saúde pública e ameaças humanitárias (240). Por outro lado, o decreto executivo enumera determinados objetivos que nunca devem ser concretizados através de atividades de informação de origem eletromagnética, por exemplo, com o objetivo de reprimir críticas, dissidências ou a livre expressão de ideias ou de opiniões políticas por parte dos cidadãos ou da imprensa, com o objetivo de prejudicar os cidadãos com base na sua etnia, raça, sexo, identidade de género, orientação sexual ou religião ou para proporcionar uma vantagem concorrencial às empresas norte-americanas (241).

(135)

Além disso, os objetivos legítimos estabelecidos no EO 14086 não podem, por si só, ser invocados pelos serviços de informações para justificar a recolha de informação de origem eletromagnética, devendo ser fundamentados mais aprofundadamente, para fins operacionais, em prioridades mais concretas para as quais seja permitida a recolha de informação de origem eletromagnética. Dito de outro modo, a recolha efetiva só pode ter lugar para promover uma prioridade mais específica. Essas prioridades são definidas através de um processo específico destinado a garantir a conformidade com os requisitos legais aplicáveis, nomeadamente os relacionados com a privacidade e as liberdades cívicas. Mais especificamente, as prioridades em matéria de informações são, em primeiro lugar, desenvolvidas pelo Director of National Intelligence (através do chamado National Intelligence Priorities Framework) e apresentadas ao Presidente para aprovação (242). Antes de propor as prioridades em matéria de informações ao Presidente, o diretor deve, em conformidade com o EO 14086, obter uma avaliação do CLPO do ODNI para cada uma das prioridades, a fim de determinar se: 1) promove um ou mais objetivos legítimos enumerados no EO; 2) não foi concebida nem se prevê que venha a resultar na recolha de informação de origem eletromagnética para um objetivo proibido enumerado no decreto executivo; e 3) foi definida após ponderação adequada da privacidade e das liberdades cívicas de todos os cidadãos, independentemente da sua nacionalidade ou do local onde residam (243). Se o diretor não concordar com a avaliação do CLPO, ambos os pontos de vista devem ser apresentados ao Presidente (244).

(136)

Por conseguinte, este processo garante, nomeadamente, que as considerações em matéria de privacidade são tidas em conta desde a fase inicial em que são desenvolvidas as prioridades em matéria de informações.

(137)

Em segundo lugar, uma vez definida uma prioridade em matéria de informações, há uma série de requisitos que regem a decisão sobre se, e em que medida, pode ser recolhida informação de origem eletromagnética para promover essa prioridade. Estes requisitos operacionalizam as normas gerais de necessidade e proporcionalidade previstas na secção 2(a) do decreto executivo.

(138)

Em especial, a informação de origem eletromagnética só pode ser recolhida «após a determinação, com base numa avaliação razoável de todos os fatores pertinentes, de que a recolha é necessária para promover uma prioridade específica em matéria de informações» (245). Aquando da determinação da necessidade de levar a cabo uma atividade de recolha de informação de origem eletromagnética específica com vista a promover uma prioridade em matéria de informações validada, os serviços de informações dos EUA devem considerar a disponibilidade, a viabilidade e a adequação de outras fontes e métodos menos intrusivos, incluindo de fontes diplomáticas e públicas (246). Quando disponíveis, deve ser dada prioridade a essas fontes e métodos alternativos e menos intrusivos (247).

(139)

Quando, na aplicação desses critérios, a recolha de informação de origem eletromagnética for considerada necessária, deve ser «tão seletiva quanto possível» e «não pode ter repercussões desproporcionadas na privacidade e nas liberdades cívicas» (248). Para assegurar que a privacidade e as liberdades cívicas não são afetadas de forma desproporcionada — ou seja, para estabelecer um equilíbrio adequado entre as necessidades de segurança nacional e a proteção da privacidade e das liberdades cívicas — há que ter devidamente em conta todos os fatores, como a natureza do objetivo perseguido, o caráter intrusivo da atividade de recolha, incluindo a sua duração, o contributo provável da recolha para o objetivo perseguido, as consequências razoavelmente previsíveis para os cidadãos e a natureza e sensibilidade dos dados a recolher (249).

(140)

Em relação ao tipo de recolha de informação de origem eletromagnética, a recolha de dados nos Estados Unidos, que é a mais relevante para a presente verificação de adequação, uma vez que diz respeito a dados que foram transferidos para organizações localizadas nos EUA, deve ser sempre seletiva, conforme explicado mais circunstanciadamente nos considerandos 142 a 153.

(141)

A «recolha em larga escala» (250) só é possível fora dos Estados Unidos, com base no EO 12333. Também neste caso, nos termos do EO 14086, deve ser dada prioridade à recolha seletiva (251). Inversamente, a recolha em larga escala só é permitida quando a informação necessária para promover uma prioridade em matéria de informações validada não pode ser razoavelmente obtida através da recolha seletiva (252). Sempre que seja necessário proceder à recolha em larga escala de dados fora dos Estados Unidos, aplicam-se garantias específicas nos termos do EO 14086 (253). Em primeiro lugar, devem ser aplicados métodos e medidas técnicas a fim de limitar os dados recolhidos apenas ao necessário para promover uma prioridade em matéria de informações validada, minimizando simultaneamente a recolha de informações que não são pertinentes (254). Em segundo lugar, o decreto executivo limita a utilização da informação recolhida em larga escala (incluindo a consulta) a seis objetivos específicos, a saber, a proteção contra o terrorismo, a tomada de reféns e a manutenção de pessoas em cativeiro por um governo, organização ou cidadão estrangeiros ou em nome de um governo, organização ou cidadão estrangeiros, a proteção contra a espionagem, a sabotagem ou o assassínio internacional, a proteção contra ameaças decorrentes do desenvolvimento, posse ou proliferação de armas de destruição maciça ou de tecnologias e ameaças conexas, etc. (255). Por último, qualquer consulta de informação de origem eletromagnética obtida em larga escala só pode ter lugar quando for necessária para promover uma prioridade em matéria de informações validada, na consecução destes seis objetivos e de acordo com as políticas e os procedimentos que tenham devidamente em conta o impacto das consultas na privacidade e nas liberdades cívicas de todos os cidadãos, independentemente da sua nacionalidade ou do local onde residam (256).

(142)

Para além dos requisitos constantes do EO 14086, a recolha de informação de origem eletromagnética que tenha sido transferida para uma organização localizada nos Estados Unidos está sujeita a limitações e garantias específicas regidas pela secção 702 da FISA (257). A secção 702 da FISA permite que se visem cidadãos de países terceiros que se acredita estarem localizados fora dos Estados Unidos, com a assistência obrigatória dos prestadores norte-americanos de serviços de comunicações eletrónicas, para recolher informações externas (258). A fim de recolher informações externas nos termos da secção 702 da FISA, o Attorney General e o Director of National Intelligence apresentam certificações anuais ao Foreign Intelligence Surveillance Court (FISC) em que constam as categorias de informações externas a obter (259). As certificações devem ser acompanhadas de procedimentos de orientação, minimização e consulta de informação, que também são aprovados pelo Tribunal e juridicamente vinculativos para os serviços de informações dos EUA .

(143)

O FISC é um tribunal independente (260) criado por uma lei federal cujas decisões podem ser objeto de recurso para o Foreign Intelligence Surveillance Court of Review (FISCR) (261) e, em última instância, para o Supremo Tribunal dos Estados Unidos (262). O FISC (e o FISCR) são apoiados por um grupo permanente composto por cinco advogados e cinco peritos técnicos com conhecimentos especializados em questões de segurança nacional e liberdades cívicas (263). A partir deste grupo, o tribunal nomeia um cidadão para intervir na qualidade de amicus curiae, a fim de assistir na análise de qualquer pedido de decisão ou reapreciação que, na opinião do tribunal, apresente uma interpretação nova ou significativa do direito, salvo se o tribunal considerar que essa nomeação não é adequada (264). Em especial, tal garante que as considerações em matéria de proteção da privacidade são tidas em devida conta na avaliação do tribunal. O tribunal também pode nomear um cidadão ou organização para intervir na qualidade de amicus curiae, nomeadamente para fornecer competências técnicas, sempre que considere necessário ou, mediante proposta, autorizar uma pessoa ou organização a apresentar informações a título de amicus curiae (265).

(144)

O FISC aprecia as certificações e os procedimentos conexos (em especial os procedimentos de orientação e minimização) para verificar a conformidade com os requisitos constantes da FISA. Se considerar que os requisitos não estão a ser cumpridos, pode recusar total ou parcialmente a certificação e solicitar a alteração dos procedimentos (266). A este respeito, o FISC tem confirmado repetidamente que a sua apreciação dos procedimentos de orientação e minimização previstos na secção 702 não se limita aos procedimentos tal como estão redigidos, mas inclui também a forma como os procedimentos são aplicados pelo governo (267).

(145)

As decisões sobre a seleção de alvos individuais são feitas pela National Security Agency (NSA, o serviço de informações responsável pela seleção de alvos nos termos da secção 702 da FISA) de acordo com os procedimentos de seleção de alvos aprovados pelo FISC, que exigem que a NSA avalie, tendo em conta todas as circunstâncias, que a seleção de um cidadão específico é suscetível de conduzir à obtenção de uma categoria de informações externas constantes de uma certificação (268). Esta avaliação deve ser particularizada e baseada em factos, fundamentada por um juízo analítico, pela formação especializada e pela experiência do analista, bem como pela natureza das informações externas a obter (269). A seleção de alvos é efetuada através da identificação dos chamados «seletores» que identificam meios de comunicação específicos, como o endereço de correio eletrónico ou o número de telefone do cidadão visado, mas nunca palavras-chave nem os nomes dos cidadãos (270).

(146)

Os analistas da NSA identificarão, em primeiro lugar, os cidadãos de países terceiros localizados no estrangeiro cuja vigilância conduzirá, com base na avaliação do analista, às informações externas pertinentes especificadas na certificação (271). Tal como estabelecido nos procedimentos de seleção de alvos da NSA, a NSA só pode orientar a vigilância para um alvo quando já tiver conhecimento de algo sobre o alvo (272). Este conhecimento pode resultar de informações provenientes de diferentes fontes, por exemplo, de informações humanas. Através destas outras fontes, o analista deve também conhecer um seletor específico (ou seja, uma conta de comunicação) utilizado pelo potencial alvo. Após a identificação destas pessoas e a sua aprovação como objetivos por um amplo mecanismo de análise no âmbito da NSA (273), são designados (ou seja, desenvolvidos e aplicados) os seletores que identificam os meios de comunicação (como o endereço de correio eletrónico) utilizados pelas pessoas visadas (274).

(147)

A NSA deve documentar a fundamentação factual para a seleção do alvo (275) e, a intervalos regulares após a seleção inicial do alvo, confirmar que a norma de seleção de alvos continua a ser cumprida (276). Se a norma de seleção de alvos deixar de ser cumprida, a recolha deve ser interrompida (277). Os funcionários dos gabinetes de supervisão dos serviços de informações do Department of Justice, que têm a obrigação de comunicar qualquer violação ao FISC e ao Congresso, analisam, de dois em dois meses, a seleção de cada alvo pela NSA e o respetivo registo de avaliação e fundamentação da seleção do alvo para verificar o cumprimento com os procedimentos de seleção de alvos (278). A documentação escrita da NSA facilita a supervisão do FISC sobre se determinados cidadãos são devidamente visados nos termos da secção 702 da FISA, de acordo com os seus poderes de supervisão descritos nos considerandos 173 a 174 (279). Por último, o Director of National Intelligence deve também comunicar todos os anos o número total de alvos nos termos da secção 702 da FISA nos relatórios anuais públicos de transparência estatística. As empresas que recebem diretivas nos termos da secção 702 da FISA podem publicar dados agregados (através de relatórios de transparência) relativos aos pedidos que recebem (280).

(148)

No que diz respeito às outras bases jurídicas para a recolha de dados pessoais transferidos para organizações localizadas nos EUA, aplicam-se limitações e garantias diferentes. Em geral, a recolha de dados em larga escala é especificamente proibida nos termos da secção 402 da FISA (autoridade em matéria de dispositivos de registo de chamadas telefónicas e comunicações eletrónicas) e através da utilização de NSL, sendo, ao invés, exigida a utilização de «termos de seleção» específicos (281).

(149)

Para realizar uma vigilância eletrónica individualizada convencional (nos termos da secção 105 da FISA), os serviços de informações devem apresentar um pedido ao FISC em que conste uma declaração dos factos e circunstâncias subjacentes para justificar a convicção de que existe uma causa provável de que a instalação é utilizada, ou está prestes a ser utilizada, por uma potência estrangeira ou por um agente de uma potência estrangeira (282). O FISC avaliará, entre outros aspetos, se, com base nos factos apresentados, existe uma causa provável de que tal se verifica efetivamente (283).

(150)

Para efetuar uma busca de instalações ou bens que se destine a resultar numa inspeção, apreensão, etc. de informações, material ou bens (por exemplo, um dispositivo informatizado) com base na secção 301 da FISA, é necessário obter uma decisão do FISC (284). Esse pedido deve, nomeadamente, demonstrar que existe uma causa provável de que o alvo da busca é uma potência estrangeira ou um agente de uma potência estrangeira, que a instalação ou os bens objeto da busca contêm informações externas e que a instalação objeto da busca é propriedade, utilizada, detida ou está a ser transferida de um (agente de uma) potência estrangeira ou para um (agente de uma) potência estrangeira (285).

(151)

Do mesmo modo, a instalação de dispositivos de registo de chamadas telefónicas e comunicações eletrónicas (nos termos da secção 402 da FISA) implica um pedido de decisão do FISC (ou de um magistrado norte-americano) e a utilização de um termo de seleção específico, ou seja, um termo que identifique especificamente um cidadão, uma conta, etc., e que seja utilizado para limitar, tanto quanto razoavelmente possível, o âmbito das informações solicitadas (286). Esta faculdade não diz respeito ao conteúdo das comunicações, visando, em vez disso, as informações sobre o cliente ou assinante que utiliza um serviço (tais como nome, endereço, número de cliente, duração/tipo de serviço recebido, fonte/mecanismo de pagamento).

(152)

A secção 501 da FISA (287), que permite a recolha de documentação empresarial de uma empresa de transportes públicos (ou seja, qualquer cidadão ou entidade que transporte pessoas ou bens por via terrestre, ferroviária, marítima ou aérea mediante remuneração), de uma unidade de alojamento pública (por exemplo, um hotel, motel ou estalagem), de um estabelecimento de aluguer de veículos ou de um estabelecimento de armazenamento físico (ou seja, que forneça espaço ou preste serviços relacionados com o armazenamento de mercadorias e materiais) (288), também exige um pedido ao FISC ou a um magistrado. Este pedido deve especificar a documentação solicitada e os factos específicos e articuláveis que justificam a convicção de que o cidadão a quem a documentação diz respeito é uma potência estrangeira ou um agente de uma potência estrangeira (289).

(153)

Por último, diferentes leis autorizam a utilização de NSL. Além disso, as NSL permitem que as agências de investigação obtenham certas informações (não incluindo o conteúdo das comunicações) de determinadas entidades (por exemplo, instituições financeiras, agências de informações comerciais, prestadores de serviços de comunicações eletrónicas) constantes de relatórios de crédito, registos financeiros e registos eletrónicos de assinantes e transnacionais (290). A lei relativa às NSL que autoriza o acesso às comunicações eletrónicas só pode ser utilizada pelo FBI e exige que os pedidos utilizem um termo que identifique especificamente um cidadão, entidade, número de telefone ou conta e que certifique que as informações são pertinentes para uma investigação de segurança nacional autorizada com vista à proteção contra o terrorismo internacional ou atividades de informações clandestinas (291). Os destinatários de uma NSL têm o direito de a impugnar em tribunal (292).

(154)

O tratamento de dados pessoais recolhidos pelos serviços de informações dos EUA através de informação de origem eletromagnética está sujeito a uma série de garantias.

(155)

Em primeiro lugar, cada serviço de informações deve assegurar a segurança adequada dos dados e impedir o acesso de cidadãos não autorizados aos dados pessoais recolhidos através de informação de origem eletromagnética. A este respeito, diferentes instrumentos, nomeadamente leis, orientações e normas, especificam os requisitos mínimos de segurança da informação que têm de ser aplicados (por exemplo, autenticação multifatores, cifragem, etc.) (293). O acesso aos dados recolhidos deve ser limitado ao pessoal autorizado e qualificado com necessidade de conhecer as informações para desempenhar a sua missão (294). Em termos mais gerais, os serviços de informações devem ministrar formação adequada aos seus trabalhadores, nomeadamente sobre os procedimentos de comunicação e tratamento das violações da lei (incluindo o EO 14086) (295).

(156)

Em segundo lugar, os serviços de informações devem cumprir as normas do setor das informações em matéria de exatidão e objetividade, em especial no que diz respeito à garantia da qualidade e fiabilidade dos dados, à consideração de fontes alternativas de informação e à objetividade na realização de análises (296).

(157)

Em terceiro lugar, no que respeita à conservação de dados, o EO 14086 esclarece que os dados pessoais de cidadãos de países terceiros estão sujeitos aos mesmos períodos de conservação que os aplicáveis aos dados de cidadãos norte-americanos (297). Os serviços de informações são obrigados a definir períodos de conservação específicos e/ou os fatores que devem ser tidos em conta para determinar a duração dos períodos de conservação aplicáveis (por exemplo, se a informação constitui prova de um crime; se os dados constituem dados de informações estrangeiras; se as informações são necessárias para proteger a segurança de pessoas ou organizações, incluindo vítimas ou alvos de terrorismo internacional), que estão definidos em diferentes instrumentos jurídicos (298).

(158)

Em quarto lugar, aplicam-se regras específicas no que respeita à divulgação de dados pessoais recolhidos através de informação de origem eletromagnética. Como requisito geral, os dados pessoais relativos a cidadãos de países terceiros só podem ser divulgados se envolverem o mesmo tipo de informações autorizadas a ser divulgadas sobre cidadãos norte-americanos, por exemplo, informações necessárias para proteger a segurança de um cidadão ou organização (como alvos, vítimas ou reféns de organizações terroristas internacionais) (299). Além disso, os dados pessoais não podem ser divulgados exclusivamente devido à nacionalidade ou ao país de residência de um cidadão ou com o objetivo de contornar os requisitos constantes do EO 14086 (300). A divulgação no seio do Governo dos EUA só pode ter lugar se uma pessoa autorizada e qualificada tiver uma convicção razoável de que o destinatário tem necessidade de conhecer as informações (301) e que as protegerá de modo adequado (302). Para determinar se os dados pessoais podem ser divulgados a destinatários fora do Governo dos EUA (nomeadamente um governo estrangeiro ou uma organização internacional), há que ter em conta a finalidade da divulgação, a natureza e o volume dos dados divulgados e o potencial impacto negativo no(s) cidadão(s) em causa (303).

(159)

Por último, nomeadamente para facilitar a supervisão do cumprimento dos requisitos legais aplicáveis, bem como mecanismos de recurso eficazes, cada serviço de informações é obrigado, nos termos do EO 14086, a conservar documentação adequada sobre a recolha de informação de origem eletromagnética. Os requisitos relativos à documentação abrangem elementos como a base factual para a avaliação da necessidade de realizar uma atividade de recolha específica com vista a promover uma prioridade em matéria de informações validada (304).

(160)

Para além das salvaguardas acima referidas ao abrigo do EO 14086 para a utilização de informações recolhidas através de informações de origem eletromagnética, todos os serviços de informações dos EUA estão sujeitos a requisitos mais gerais em matéria de limitação da finalidade, minimização dos dados, exatidão, segurança, conservação e divulgação, em especial nos termos da Circular n.o A-130 da OMB, da E-Government Act, da Federal Records Act (ver considerandos101-106) e das orientações do Committee on National Security Systems (CNSS) (305).

(161)

As atividades dos serviços de informações dos EUA estão sujeitas à supervisão de diferentes organismos.

(162)

Em primeiro lugar, o EO 14086 exige que cada serviço de informações tenha funcionários a nível superior com experiência nos domínios jurídico, da supervisão e da conformidade para assegurar o cumprimento da legislação dos EUA aplicável (306). Em especial, os referidos funcionários devem efetuar uma supervisão periódica das atividades de informação de origem eletromagnética e assegurar a correção de qualquer incumprimento identificado. Os serviços de informações devem fornecer a esses funcionários acesso a todas as informações relevantes para o exercício das suas funções de supervisão e não podem tomar quaisquer medidas para impedir ou influenciar indevidamente as suas atividades de supervisão (307). Além disso, qualquer situação de incumprimento grave (308) identificado por um funcionário de supervisão ou por qualquer outro funcionário deve ser prontamente comunicado ao diretor do serviço de informações e ao Director of National Intelligence, que devem assegurar que são adotadas todas as medidas necessárias para corrigir e evitar a recorrência da situação de incumprimento grave (309).

(163)

Esta função de supervisão é desempenhada por agentes com uma função de verificação da conformidade designada, bem como por agentes responsáveis pela proteção da privacidade e das liberdades cívicas e por inspetores-gerais (310).

(164)

Tal como acontece com as autoridades responsáveis pela aplicação do direito penal, em todos os serviços de informações existem agentes responsáveis pela proteção da privacidade e das liberdades cívicas (311). Os poderes específicos destes agentes, habitualmente englobam a supervisão dos procedimentos a fim de assegurar que o respetivo departamento/organismo tem em devida consideração a proteção da privacidade e das liberdades cívicas e instaurou procedimentos adequados para a resolução de queixas dos cidadãos que consideram que a sua privacidade ou liberdades cívicas foram violadas (e, em alguns casos, como o Office of the Director of National Intelligence (ODNI), podem ter competência para investigar queixas (312)). Os diretores dos serviços de informações devem assegurar que os agentes responsáveis pela proteção da privacidade e das liberdades cívicas dispõem dos recursos necessários para cumprir o seu mandato, têm acesso a todo o material e pessoal necessário para o exercício das suas funções e são informados e consultados sobre as alterações políticas propostas (313). Os agentes responsáveis pela proteção da privacidade e das liberdades cívicas comunicam periodicamente ao Congresso e à PCLOB, designadamente sobre o número e a natureza das queixas recebidas pelo departamento/organismo, bem como um resumo dessas queixas, as análises efetuadas e as questões colocadas e ainda o impacto das atividades levadas a cabo pelo agente (314).

(165)

Em segundo lugar, cada serviço de informações tem um inspetor-geral independente que, entre outras funções, é responsável pela supervisão das atividades de informações externas. Isto inclui, no âmbito do ODNI, um Office of the Inspector General (gabinete do inspetor-geral) do setor das informações com competência abrangente sobre todo este, que tem autorização para investigar queixas ou informações respeitantes a alegações de conduta ilegal ou abuso de autoridade relacionadas com o ODNI e/ou programas e atividades do setor das informações (315). À semelhança do que se verifica no caso das autoridades responsáveis pela aplicação do direito penal (ver considerando 109), esses inspetores-gerais são juridicamente independentes (316) e responsáveis pela realização de auditorias e investigações relacionadas com os programas e operações levados a cabo pelo respetivo serviço para efeitos de prestações de informações nacionais, nomeadamente no que diz respeito a abusos ou violações da lei (317). Podem aceder a todos os registos, relatórios, auditorias, revisões, documentos, recomendações ou outros materiais pertinentes, através de intimações, se necessário, e podem recolher depoimentos (318). Os inspetores-gerais remetem os casos de suspeita de infrações penais para os tribunais para o exercício da ação penal e formulam recomendações sobre medidas corretivas destinadas aos diretores dos serviços (319). Embora as suas recomendações não sejam vinculativas, os seus relatórios, incluindo as medidas de acompanhamento (ou a sua inexistência) (320), são geralmente tornados públicos e transmitidos ao Congresso, que pode, com base neles, exercer a sua própria função de supervisão (ver considerandos 168 e 169) (321).

(166)

Em terceiro lugar, o Intelligence Oversight Board (IOB), criado no âmbito do President’s Intelligence Advisory Board (PIAB), supervisiona o cumprimento da Constituição e de todas as regras aplicáveis por parte dos serviços de informações dos EUA (322). O PIAB é um órgão consultivo do Executive Office of the President constituído por 16 membros fora do Governo dos EUA nomeados pelo presidente. O IOB é constituído por um máximo de cinco membros designados pelo presidente de entre os membros do PIAB. Em conformidade com o EO 12333 (323), os diretores de todos os serviços de informações são obrigados a comunicar ao IOB qualquer atividade de informações relativamente à qual existam razões para crer que possa ser ilegal ou contrária a um decreto executivo ou diretiva presidencial. Para assegurar que o IOB tem acesso às informações necessárias para o exercício das suas funções, o EO 13462 dá instruções ao Director of National Intelligence e aos diretores dos serviços de informações para que prestem quaisquer informações e assistência que o IOB determine serem necessárias para o exercício das suas funções, na medida do permitido pela lei (324). Por sua vez, o IOB é obrigado a informar o presidente sobre atividades de informações que considera poderem estar a violar a legislação dos EUA (incluindo decretos executivos) e que não estejam a ser adequadamente tratadas pelo Attorney General, pelo Director of National Intelligence ou pelo diretor de um serviço de informações (325). Além disso, o IOB é obrigado a informar o Attorney General sobre eventuais violações do direito penal.

(167)

Em quarto lugar, os serviços de informações estão sujeitos à supervisão da PCLOB. De acordo com o seu estatuto constitutivo, a PCLOB tem responsabilidades no domínio das políticas de luta contra o terrorismo e da sua aplicação, com vista à proteção da privacidade e das liberdades cívicas. Na sua análise das ações dos serviços de informações, pode aceder a todos os registos, relatórios, auditorias, análises, documentos e recomendações dos serviços de informações pertinentes, nomeadamente informações classificadas, realizar entrevistas e recolher depoimentos (326). Recebe relatórios dos agentes responsáveis pela proteção da privacidade e das liberdades cívicas de vários departamentos/serviços federais (327), pode emitir recomendações às autoridades governamentais e às agências de informação, e informa regularmente os comités do Congresso e ao Presidente (328). Os relatórios do conselho, incluindo os que são apresentados ao Congresso, devem ser, na medida do possível, disponibilizados ao público (329). A PCLOB emitiu vários relatórios de supervisão e acompanhamento, incluindo uma análise dos programas executados com base na secção 702 da FISA e a proteção da privacidade neste contexto, a aplicação da PPD 28 e do EO 12333 (330). Cabe também à PCLOB exercer funções de supervisão específicas no que se refere à aplicação do EO 14086, em especial verificando se os procedimentos das agências são coerentes com o decreto executivo (ver considerando 126) e avaliando a correção do funcionamento do mecanismo de recurso (ver considerando 194).

(168)

Em quinto lugar, para além dos mecanismos de supervisão no quadro do poder executivo, existem comités específicos no Congresso dos EUA (os House and Senate Intelligence and Judiciary Committees) que têm responsabilidades de supervisão relativamente a todas as atividades de informações externas dos EUA. Os membros destes comités têm acesso a informações classificadas, bem como a métodos e programas de informações (331). Os comités exercem as suas funções de supervisão de diferentes formas, nomeadamente através de audições, investigações, análises e relatórios (332).

(169)

Os comités do Congresso recebem relatórios regulares sobre as atividades de informações, nomeadamente do Attorney General, do Director of National Intelligence, dos serviços de informações e de outros organismos de supervisão (por exemplo, inspetores-gerais). Ver considerandos 164 e 165. Em particular, de acordo com a National Security Act (lei relativa à segurança nacional), «[o] Presidente deve garantir que os comités de informações do Congresso são mantidos plenamente informados e atualizados sobre as atividades de informações dos Estados Unidos, nomeadamente sobre qualquer atividade de informação prevista significativa, tal como exigido pelo presente subcapítulo». (333) Além disso, «[o] Presidente deve assegurar que todas as atividades de informação ilegais são imediatamente comunicadas aos comités de informações do Congresso, a par de todas as medidas corretivas tomadas ou previstas em relação a tal atividade ilegal». (334)

(170)

Além disso, requisitos de comunicação adicionais decorrem de leis específicas. Em especial, a FISA exige que o Attorney General«informe na íntegra» o Senado e os House Intelligence and Judiciary Committees relativamente às atividades do governo nos termos de determinadas secções da FISA (335). Exige ainda que o governo apresente aos comités do Congresso cópias de todas as decisões, despachos ou pareceres do FISC ou do FISCR que incluam construção ou interpretação significativas das disposições da FISA. No que se refere à vigilância nos termos da secção 702 da FISA, a supervisão parlamentar é exercida através de relatórios exigidos por lei apresentados aos Intelligence and Judiciary Committees, bem como de esclarecimentos e audições frequentes. Estes incluem um relatório semestral apresentado pelo Attorney General que descreve a utilização da secção 702 da FISA, com documentos de apoio, nomeadamente os relatórios de conformidade do Department of Justice e do ODNI, bem como uma descrição de todas as situações de incumprimento (336), e uma avaliação semestral separada efetuada pelo Attorney General e pelo Director of National Intelligence que documenta a conformidade com os procedimentos de orientação e minimização (337).

(171)

Além disso, a FISA determina que o governo dos EUA divulgue anualmente ao Congresso (e ao público) o número de decisões solicitadas e recebidas nos termos da FISA, bem como as estimativas do número de cidadãos norte-americanos e de países terceiros que são alvo de vigilância, entre outros (338). A referida lei exige igualmente a comunicação pública adicional do número de NSL emitidas, novamente no que diz respeito aos cidadãos norte-americanos e de países terceiros (permitindo ao mesmo tempo que os destinatários de decisões e certificações nos termos da FISA, bem como de pedidos NSL, emitam relatórios de transparência em determinadas condições) (339).

(172)

Em termos mais gerais, o setor de informações norte-americano envida vários esforços para proporcionar transparência sobre as suas atividades de informações (externas). Por exemplo, em 2015, o ODNI adotou os princípios de transparência de informações e um plano de aplicação da transparência e deu instruções a cada serviço de informações para designar um Intelligence Transparency Officer para promover a transparência e liderar iniciativas de transparência (340). No âmbito destes esforços, o setor das informações tornou e continua a tornar públicas partes desclassificadas de políticas, procedimentos, relatórios de supervisão, relatórios sobre atividades nos termos da secção 702 da FISA e do EO 12333, decisões do FISC e outros materiais, nomeadamente numa página Web específica, IC on the Record, gerida pelo ODNI (341).

(173)

Por último, a recolha de dados pessoais nos termos da secção 702 da FISA está sujeita, para além da supervisão pelos organismos de supervisão referidos nos considerandos 162 a 168, à supervisão do FISC (342). Nos termos da regra 13 do regulamento interno do FISC, os responsáveis pela conformidade dos serviços de informações dos EUA são obrigados a comunicar quaisquer violações dos procedimentos de orientação, minimização e consulta previstos na secção 702 da FISA ao DOJ e ao ODNI, que, por sua vez, as comunicam ao FISC. Além disso, o DOJ e o ODNI apresentam ao FISC relatórios semestrais de avaliação da supervisão conjunta, que identificam as tendências de cumprimento da seleção de alvos, fornecem dados estatísticos, descrevem categorias de situações de incumprimento, descrevem em pormenor os motivos segundo os quais ocorreram determinadas situações de incumprimento da seleção de alvos e descrevem as medidas que os serviços de informações tomaram para evitar que se repitam (343).

(174)

Sempre que necessário (por exemplo, se forem identificadas violações dos procedimentos de seleção de alvos), o Tribunal pode ordenar ao serviço de informações competente que tome medidas corretivas (344). As medidas corretivas em causa podem ir desde medidas individuais a medidas estruturais, por exemplo, da cessação da recolha de dados e a eliminação de dados obtidos ilegalmente à alteração das práticas de recolha, incluindo as orientações e a formação do pessoal (345). Além disso, durante a sua análise anual das certificações previstas na secção 702, o FISC tem em conta situações de incumprimento para determinar se as certificações apresentadas cumprem os requisitos da FISA. Do mesmo modo, se o FISC considerar que as certificações do governo não são suficientes, nomeadamente devido a situações de incumprimento específicas, pode emitir a chamada «decisão relativa a deficiências», exigindo que o governo corrija a violação no prazo de 30 dias ou que cesse ou não comece a aplicar a certificação prevista na secção 702. Por último, o FISC aprecia as tendências que observa nas situações de incumprimento e pode exigir alterações dos procedimentos ou supervisão e relatórios adicionais para dar resposta às tendências de cumprimento (346).

(175)

Conforme explicado mais circunstanciadamente na presente secção, nos Estados Unidos existem várias vias que proporcionam aos titulares dos dados na União a possibilidade de intentar uma ação judicial num tribunal independente e imparcial com poderes vinculativos. Em conjunto, permitem que os cidadãos tenham acesso aos seus dados pessoais, que a legalidade do acesso do governo aos seus dados seja analisada e, se for detetada uma violação, que essa violação seja reparada, nomeadamente através da retificação ou apagamento dos seus dados pessoais.

(176)

Em primeiro lugar, é criado um mecanismo de recurso específico nos termos do EO 14086, complementado pelo Regulamento AG que cria o Data Protection Review Court para tratar e resolver queixas de cidadãos relativas a atividades de informação de origem eletromagnética dos EUA. Qualquer cidadão na UE tem o direito de apresentar uma queixa ao mecanismo de recurso relativa a uma alegada violação da legislação dos EUA que rege as atividades de informação de origem eletromagnética (por exemplo, o EO 14086, a secção 702 da FISA, o EO 12333), que afete negativamente os seus interesses em matéria de privacidade e liberdades cívicas (347). Este mecanismo de recurso está disponível para os cidadãos de países ou de organizações regionais de integração económica designados pelo Attorney General dos EUA como «Estados elegíveis» (348). Em 30 de junho de 2023, a União Europeia e os três países da Associação Europeia de Comércio Livre que, em conjunto, constituem o Espaço Económico Europeu foram designados como «Estado elegível» (349) pelo Attorney General nos termos da secção 3, alínea f), do EO 14086. Esta designação não prejudica o disposto no artigo 42.o, n.o 2, do Tratado da União Europeia.

(177)

Um titular dos dados da União que pretenda apresentar uma queixa deve apresentá-la a uma autoridade de supervisão de um Estado-Membro da UE competente para a supervisão do tratamento de dados pessoais pelas autoridades públicas (uma APD) (350). Tal assegura o acesso fácil ao mecanismo de recurso, permitindo que os cidadãos se dirijam a uma autoridade «próxima no seu país» e com a qual possam comunicar na sua própria língua. Após verificação dos requisitos para a apresentação de uma reclamação a que se refere o considerando 178, a APD competente encaminhará, através do secretariado do Comité Europeu para a Proteção de Dados, a reclamação para o mecanismo de recurso.

(178)

A apresentação de uma queixa ao mecanismo de recurso está sujeita a requisitos de admissibilidade reduzida, uma vez que os cidadãos não precisam de demonstrar que os seus dados foram, com efeito, objeto de atividades de informação de origem eletromagnética dos EUA (351). Simultaneamente, para estabelecer um ponto de partida a partir do qual o mecanismo de recurso possa efetuar uma análise, devem ser fornecidas determinadas informações básicas, como, por exemplo, relativas aos dados pessoais que se acredite razoavelmente terem sido transferidos para os EUA e os meios através dos quais se acredite terem sido transferidos, as identidades das entidades do Governo dos EUA que se acredita estarem envolvidas na alegada violação (se conhecidas), o fundamento para alegar que ocorreu uma violação da legislação dos EUA (mais uma vez, tal não exige que se demonstre que os dados pessoais foram, com efeito, recolhidos pelos serviços de informações dos EUA) e a natureza da reparação requerida.

(179)

A investigação inicial das queixas apresentadas a este mecanismo de recurso é efetuada pelo CLPO do ODNI, cujas funções e poderes existentes conferidos por lei foram alargados às medidas específicas adotadas nos termos do EO 14086 (352). No âmbito do setor das informações, o CLPO é, entre outras funções, responsável por assegurar que a proteção das liberdades cívicas e da privacidade é adequadamente incorporada nas políticas e procedimentos do ODNI e dos serviços de informações, supervisionar o cumprimento, por parte do ODNI, dos requisitos em matéria de liberdades cívicas e privacidade aplicáveis e efetuar avaliações do impacto na privacidade (353). O CLPO do ODNI só pode ser destituído pelo Director of National Intelligence por justa causa, ou seja, em caso de má conduta, prevaricação, violação da segurança, negligência do dever ou incapacidade (354).

(180)

Aquando da realização da sua análise, o CLPO do ODNI tem acesso à informação para a sua avaliação e pode contar com a assistência obrigatória dos responsáveis pela proteção da privacidade e das liberdades cívicas nos diferentes serviços de informações (355). Os serviços de informações estão proibidos de impedir ou influenciar indevidamente as análises do CLPO do ODNI, incluindo o Director of National Intelligence, que não deve interferir com a análise (356). Aquando da análise de uma queixa, o CLPO do ODNI deve aplicar a lei «imparcialmente», tendo em conta tanto os interesses de segurança nacional nas atividades de informação de origem eletromagnética como a proteção da privacidade (357).

(181)

No âmbito da sua análise, o CLPO do ODNI determina se ocorreu uma violação da legislação dos EUA aplicável e, se for esse o caso, decide sobre uma correção adequada (358). Esta correção refere-se a medidas que corrigem plenamente uma violação identificada, como a cessação da obtenção ilegal de dados, a eliminação de dados recolhidos de forma ilegal, a supressão de resultados de consultas inadequadas de dados recolhidos legalmente, a restrição do acesso aos dados recolhidos legalmente ao pessoal devidamente qualificado ou a recuperação de relatórios de informações que contenham dados obtidos sem autorização legal ou que tenham sido divulgados de forma ilegal (359). As decisões do CLPO do ODNI sobre queixas individuais (incluindo sobre medidas corretivas) são vinculativas para os serviços de informações em causa (360).

(182)

O CLPO do ODNI deve manter a documentação da sua análise e apresentar uma decisão classificada que explique os motivos na origem das suas conclusões factuais, da decisão sobre a ocorrência de uma violação abrangida e da determinação de eventuais medidas corretivas adequadas (361). Se a análise do CLPO do ODNI revelar uma violação de qualquer autoridade sujeita à supervisão do FISC, o CLPO deve também apresentar um relatório classificado ao Assistant Attorney General for National Security, que, por sua vez, tem a obrigação de comunicar o incumprimento ao FISC, que pode aplicar medidas coercivas adicionais (de acordo com o procedimento descrito nos considerandos 173 e 174) (362).

(183)

Uma vez concluída a análise, o CLPO do ODNI informa o queixoso, por intermédio da autoridade nacional, de que «a análise não identificou quaisquer violações abrangidas nem o CLPO do ODNI emitiu uma decisão exigindo a aplicação de medidas corretivas adequadas (363).» Tal permite a proteção da confidencialidade das atividades conduzidas para proteger a segurança nacional, ao mesmo tempo que faculta às pessoas uma decisão que confirma que a sua queixa foi devidamente investigada e apreciada. Estas decisões podem ser contestadas pelas pessoas posteriormente. Para o efeito, a pessoa é informada da possibilidade de recorrer para o Data Protection Review Court (DPRC) para que este reaprecie as decisões do CLPO (ver considerando 184 e seguintes) e de que, no caso de o tribunal ser chamado a pronunciar-se, será selecionado um advogado especial para defender os interesses do queixoso (364).

(184)

Qualquer queixoso, bem como cada elemento do setor das informações, pode solicitar a reapreciação da decisão do CLPO do ODNI junto do Data Protection Review Court (DPRC). Estes pedidos de reapreciação devem ser apresentados no prazo de 60 dias após a receção da notificação da conclusão da análise pelo CLPO do ODNI e a inclusão de quaisquer informações que o cidadão pretenda fornecer ao DPRC (por exemplo, argumentos sobre questões de direito ou a aplicação da lei aos factos do processo) (365). Os titulares de dados da União podem voltar a apresentar o seu pedido à APD competente (ver considerando 177).

(185)

O DPRC é um tribunal independente criado pelo Attorney General com base no EO 14086 (366). É constituído por, pelo menos, seis juízes nomeados pelo Attorney General em consulta com a PCLOB, o Secretary of Commerce e o Director of National Intelligence por mandatos renováveis de quatro anos (367). A nomeação dos juízes pelo Attorney General baseia-se nos critérios utilizados pelo poder executivo para avaliar os candidatos ao sistema judiciário federal, atribuindo um peso maior a qualquer experiência judicial anterior (368). Além disso, os juízes devem ser profissionais da justiça (ou seja, membros ativos e em pleno gozo dos seus direitos na Ordem dos Advogados e devidamente autorizados a exercer direito) e ter experiência adequada em matéria de direito da privacidade e da segurança nacional. O Attorney General deve esforçar-se por assegurar que pelo menos metade dos juízes, num dado momento, tem experiência judicial anterior e que todos os juízes possuem credenciação de segurança para poderem aceder às informações de segurança nacional classificadas (369).

(186)

Só podem ser nomeadas para o DPRC pessoas que reúnam as condições referidas no considerando 185 e que não sejam funcionários do poder executivo no momento da sua nomeação ou que não o tenham sido nos dois anos anteriores. Do mesmo modo, durante o seu mandato no DPRC, os juízes não podem ter quaisquer funções oficiais ou emprego no Governo dos EUA (exceto como juízes no DPRC) (370).

(187)

A independência do processo de nomeação é assegurada por diversas garantias. Em especial, o poder executivo (o Attorney General e os serviços de informações) está impedido de interferir ou influenciar indevidamente a apreciação do DPRC (371). O próprio DPRC é obrigado a apreciar os processos de modo imparcial (372) e funciona em conformidade com o seu próprio regulamento interno (adotado por maioria de votos). Além disso, os juízes do DPRC só podem ser destituídos pelo Attorney General e apenas por justa causa (ou seja, má conduta, prevaricação, violação da segurança, negligência do dever ou incapacidade), depois de ter devidamente em conta as normas aplicáveis aos juízes federais estabelecidas nas Rules for Judicial-Conduct and Judicial-Disability Proceedings (373).

(188)

Os pedidos apresentados ao DPRC são apreciados por painéis de três juízes, incluindo um juiz presidente, que devem agir em conformidade com o código de conduta aplicável aos juízes dos EUA (374). Cada painel é assistido por um advogado especial (375), que tem acesso a todas as informações relativas ao processo, incluindo as informações classificadas (376). O papel do advogado especial é assegurar que os interesses do queixoso são representados e que o painel do DPRC está bem informado sobre todas as questões de direito e de facto pertinentes (377). Para melhor fundamentar a sua posição relativamente a um pedido de reapreciação apresentado junto do DPRC por um cidadão, o advogado especial pode solicitar informações ao queixoso através de perguntas escritas (378).

(189)

O DPRC analisa as decisões tomadas pelo CLPO do ODNI (tanto se ocorreu uma violação da legislação dos EUA aplicável como no que diz respeito às medidas corretivas adequadas) com base, no mínimo, na documentação da investigação do CLPO do ODNI, bem como em quaisquer informações e pedidos apresentados pelo queixoso, pelo advogado especial ou por um serviço de informações (379). A formação do DPRC tem acesso a todas as informações necessárias para efetuar uma reapreciação, as quais pode obter através do CLPO do ODNI (a formação pode, por exemplo, solicitar ao CLPO para complementar a sua documentação com informações adicionais ou conclusões factuais se necessário para efetuar a reapreciação) (380).

(190)

Aquando da conclusão da sua análise, o DPRC pode: 1) decidir que não existem provas que indiquem que ocorreram atividades de informação de origem eletromagnética envolvendo dados pessoais do queixoso, 2) decidir que as decisões do CLPO do ODNI são legalmente corretas e apoiadas por provas significativas, ou 3) se o DPRC discordar das decisões do CLPO do ODNI (se ocorreu uma violação da legislação dos EUA aplicável ou se foram aplicadas medidas corretivas adequadas), emitir as suas próprias decisões (381).

(191)

Em todos os processos, o DPRC adota uma decisão escrita por maioria de votos. Caso a reapreciação revele uma violação das regras aplicáveis, a decisão especificará as medidas corretivas adequadas, que incluem a eliminação dos dados recolhidos de forma ilegal, a supressão de resultados de consultas efetuadas de modo inadequado, a restrição do acesso aos dados recolhidos legalmente ao pessoal devidamente qualificado ou a recuperação de relatórios de informações que contenham dados obtidos sem autorização legal ou que tenham sido divulgados de forma ilegal (382). A decisão do DPRC é vinculativa e final no que respeita à queixa que lhe foi apresentada (383). Além disso, se a reapreciação revelar uma violação de qualquer autoridade sujeita à supervisão do FISC, o DPRC deve também apresentar um relatório classificado ao Assistant Attorney General for National Security, que, por sua vez, tem a obrigação de comunicar o incumprimento ao FISC, que pode aplicar medidas coercivas adicionais (de acordo com o procedimento descrito nos considerandos 173 e 174) (384).

(192)

Cada decisão de um painel do DPRC é transmitida ao CLPO do ODNI (385). Nos processos em que a análise do DPRC for iniciada por um pedido do queixoso, este é notificado, por intermédio da autoridade nacional, de que o DPRC concluiu a sua análise e que «a análise não identificou quaisquer violações abrangidas nem o DPRC emitiu uma decisão exigindo a aplicação de medidas corretivas adequadas» (386). O Office of Privacy and Civil Liberties do DOJ mantém um registo de todas as informações apreciadas pelo DPRC e de todas as decisões proferidas, que é disponibilizado para consideração como precedente não vinculativo para futuras formações do DPRC (387).

(193)

O DoC também é obrigado a manter um registo de cada queixoso que apresentou uma queixa (388). Para aumentar a transparência, o DoC deve, pelo menos de cinco em cinco anos, contactar os serviços de informações competentes para verificar se as informações relativas a uma apreciação do DPRC foram desclassificadas (389). Se for esse o caso, o cidadão é notificado de que essas informações podem estar disponíveis nos termos da legislação aplicável (ou seja, que este pode solicitar o acesso às mesmas ao abrigo da Freedom of Information Act, ver considerando 199).

(194)

Por último, o funcionamento correto deste mecanismo de recurso será objeto de uma avaliação regular e independente. Mais especificamente, nos termos do EO 14086, o funcionamento do mecanismo de recurso está sujeito a uma análise anual pela PCLOB, um organismo independente (ver considerando 110) (390). No âmbito desta análise, a PCLOB avaliará, nomeadamente, se o CLPO do ODNI e o DPRC trataram das queixas em tempo útil, se obtiveram pleno acesso às informações necessárias, se foram tidas devidamente em conta as garantias significativas previstas no EO 14086 no processo de análise e se a comunidade de serviços de informação cumpriu, na íntegra, as decisões tomadas pelo CLPO do ODNI e pelo DPRC. A PCLOB apresentará um relatório sobre o resultado da sua análise ao Presidente, ao Attorney General, ao Director of National Intelligence, aos diretores dos serviços de informações, ao CLPO do ODNI e aos comités de informações do Congresso, que também será tornado público numa versão não classificada e que, por sua vez, contribuirá para a análise periódica do funcionamento da presente decisão que será elaborada pela Comissão. O Attorney General, o Director of National Intelligence, o CLPO do ODNI e os diretores dos serviços de informações são obrigados a aplicar ou de outro modo a abordar todas as recomendações constantes desses relatórios. Além disso, a PCLOB fará uma certificação pública anual sobre se o mecanismo de recurso está a tratar das queixas em conformidade com os requisitos constantes do EO 14086.

(195)

Para além do mecanismo de recurso específico criado nos termos do EO 14086, todas as pessoas têm acesso a vias de recurso (independentemente da sua nacionalidade ou local de residência) nos tribunais comuns dos EUA (391).

(196)

Em especial, a FISA e uma lei conexa preveem a possibilidade de os cidadãos intentarem uma ação civil de indemnização contra os Estados Unidos sempre que as informações sobre si tenham sido ilegal e intencionalmente utilizadas ou divulgadas (392), intentarem uma ação de indemnização contra funcionários do Governo dos EUA na sua capacidade pessoal (393) e contestarem a legalidade da vigilância (e solicitarem a supressão das informações) caso o governo dos EUA tencione utilizar ou divulgar quaisquer informações obtidas ou decorrentes de vigilância eletrónica contra o cidadão em processos judiciais ou procedimentos administrativos tramitados nos EUA (394). Em termos mais gerais, se o governo tenciona utilizar informações obtidas durante operações de informações contra um suspeito num processo penal, os requisitos constitucionais e legais (395) impõem a obrigação de divulgar determinadas informações para que o requerido possa contestar a legalidade da recolha e utilização das provas pelo governo.

(197)

Além disso, existem várias vias específicas para efeitos de recurso contra funcionários do governo em virtude do acesso ou da utilização ilegais, por parte do governo, de dados pessoais, nomeadamente para alegados efeitos de segurança nacional (ou seja, a Computer Fraud and Abuse Act) (396); a Electronic Communications Privacy Act (397); e a Right to Financial Privacy Act (398)). Todas estas ações judiciais dizem respeito a dados, alvos e/ou tipos de acesso específicos (por exemplo, acesso remoto a um computador através da Internet) e estão disponíveis em determinadas condições (por exemplo, conduta intencional/deliberada, conduta fora da capacidade oficial, danos sofridos).

(198)

Uma possibilidade mais geral de recurso está prevista na APA (399), segundo a qual qualquer pessoa que sofra um prejuízo resultante de uma decisão de uma agência ou que é afetada ou lesada pela decisão de uma agência, pode interpor um recurso judicial (400). Tal inclui a possibilidade de solicitar ao tribunal «que declare ilegais e anule a atuação, os resultados e as conclusões da agência, que se venham a verificar [...] arbitrários, caprichosos, um abuso de poder, ou de outro modo não conformes ao direito» (401). Por exemplo, em 2015, um tribunal federal de recurso decidiu sobre um pedido submetido nos termos da APA, ou seja, que a recolha em larga escala de metadados telefónicos pelo Governo dos EUA não estava autorizada nos termos da secção 501 da FISA (402).

(199)

Por último, para além das vias de recurso referidas nos considerandos 176 a 198, qualquer cidadão tem o direito de solicitar o acesso aos registos existentes das agências federais nos termos da FOIA, nomeadamente quando estes contêm dados pessoais do cidadão (403). A obtenção desse acesso pode também facilitar a instauração de processos nos tribunais comuns, designadamente para demonstrar a legitimidade. Os serviços podem reter informações abrangidas por determinadas exceções específicas, nomeadamente o acesso a informações de segurança nacional classificadas e informações relativas a investigações relacionadas com a aplicação da lei (404), tendo, os queixosos que estejam insatisfeitos com a resposta, a possibilidade de a contestar, solicitando uma reapreciação administrativa e, posteriormente, judicial (perante os tribunais federais) (405).

(200)

Decorre do acima exposto que quando as autoridades norte-americanas responsáveis pela aplicação da lei ou pela segurança nacional acedem aos dados pessoais abrangidos pelo âmbito de aplicação da presente decisão, tal acesso é regido por um quadro jurídico que estabelece as condições em que esse acesso pode ter lugar e assegura que o acesso e a utilização posterior dos dados se limitam ao necessário e proporcionado para o objetivo de interesse público perseguido. Estas garantias podem ser invocadas pelos cidadãos que gozem de direitos de recurso efetivos.

(201)

A Comissão considera que os Estados Unidos — através dos princípios emitidos pelo Department of Commerce dos EUA — asseguram um nível de proteção dos dados pessoais transferidos da União para organizações certificadas localizadas nos Estados Unidos no âmbito do Quadro de Privacidade de Dados UE-EUA, que é essencialmente equivalente ao garantido pelo Regulamento (UE) 2016/679.

(202)

Além disso, a Comissão considera que a aplicação efetiva dos princípios é assegurada por obrigações de transparência e pela administração do QPD pelo DoC. Ademais, os mecanismos de supervisão e os recursos legais previstos na legislação dos EUA permitem, no seu conjunto, identificar e punir na prática as violações às regras de proteção de dados, proporcionando vias de recurso aos titulares dos dados para terem acesso aos dados pessoais que lhes digam respeito e, eventualmente, requererem a retificação ou o apagamento desses dados.

(203)

Por último, com base nas informações disponíveis sobre o quadro jurídico dos EUA, incluindo as informações constantes dos anexos VI e VII, a Comissão entende que qualquer ingerência das autoridades públicas norte-americanas no interesse público, designadamente para efeitos de aplicação do direito penal e de segurança nacional, nos direitos fundamentais dos cidadãos cujos dados pessoais sejam transferidos da União para os Estados Unidos no âmbito do Quadro de Privacidade de Dados UE-EUA, será limitada ao estritamente necessário para concretizar o objetivo legítimo em causa, existindo uma proteção jurídica eficaz contra tal ingerência. Por conseguinte, tendo em conta as conclusões referidas acima, deve ser decidido que, na aceção do artigo 45.o do Regulamento (UE) 2016/679, interpretado à luz da Carta dos Direitos Fundamentais da União Europeia, os Estados Unidos asseguram um nível de proteção adequado dos dados pessoais transferidos da União Europeia para organizações certificadas no âmbito do Quadro de Privacidade de Dados UE-EUA.

(204)

Dado que as limitações, as garantias e o mecanismo de recurso criado pelo EO 14086 são elementos essenciais do quadro jurídico dos EUA no qual assenta a avaliação da Comissão, a adoção da presente decisão baseia-se, nomeadamente, na adoção de políticas e de procedimentos atualizados para aplicar o EO 14086 por todos os serviços de informações dos EUA e na designação da União como organização elegível para efeitos do mecanismo de recurso, que ocorreram, respetivamente em 3 de julho de 2023 (ver considerando 126) e 30 de junho de 2023 (ver considerando 176).

(205)

Os Estados-Membros e os respetivos organismos são obrigados a tomar as medidas necessárias para cumprir os atos das instituições da União, uma vez que se presume que os mesmos são lícitos e, em consequência, produzem efeitos jurídicos até serem revogados, anulados no âmbito de um recurso de anulação ou declarados inválidos na sequência de um reenvio prejudicial ou de uma exceção de ilegalidade.

(206)

Assim, uma decisão de adequação da Comissão adotada nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 é vinculativa para todos os organismos dos Estados-Membros aos quais se destina, nomeadamente para as suas autoridades de controlo independentes. Em especial, as transferências de um responsável pelo tratamento ou de um subcontratante na União para organizações certificadas localizadas nos Estados Unidos podem realizar-se sem que para tal seja necessária mais nenhuma autorização.

(207)

Importa recordar que, nos termos do artigo 58.o, n.o 5, do Regulamento (UE) 2016/679, e conforme explicado pelo Tribunal de Justiça no acórdão Schrems (406), se uma autoridade nacional responsável pela proteção de dados colocar em causa, nomeadamente na sequência de uma queixa, a conformidade de uma decisão de adequação da Comissão com a proteção dos direitos fundamentais à privacidade e à proteção dos dados do cidadão, a legislação nacional deve proporcionar-lhe uma via de recurso que lhe permita apresentar tais objeções perante um tribunal nacional, que poderá ter de efetuar um pedido de decisão prejudicial ao Tribunal de Justiça (407).

(208)

Em conformidade com a jurisprudência do Tribunal de Justiça (408), e conforme reconhecido no artigo 45.o, n.o 4, do Regulamento (UE) 2016/679, a Comissão deve controlar, de forma continuada, os desenvolvimentos pertinentes no país terceiro após a adoção de uma decisão de adequação, por forma a avaliar se o país terceiro em causa continua a assegurar um nível de proteção essencialmente equivalente. De qualquer modo, essa verificação é necessária sempre que a Comissão obtenha informações que suscitem dúvidas justificadas a esse respeito.

(209)

Por conseguinte, a Comissão deve acompanhar permanentemente a situação nos Estados Unidos no que diz respeito ao quadro jurídico e à atual prática do tratamento de dados pessoais, tal como avaliado na presente decisão. Para facilitar este processo, as autoridades norte-americanas devem informar prontamente a Comissão de qualquer alteração significativa do quadro jurídico dos EUA que tenha impacto no quadro jurídico objeto da presente decisão, bem como de qualquer evolução das práticas relacionadas com o tratamento de dados pessoais avaliadas na presente decisão, tanto no que diz respeito ao tratamento de dados pessoais pelas organizações certificadas nos Estados Unidos como às limitações e às garantias aplicáveis ao acesso aos dados pessoais pelas autoridades públicas.

(210)

Além disso, a fim de permitir à Comissão o exercício eficaz da sua função de controlo, os Estados-Membros devem informar a Comissão sobre qualquer medida pertinente adotada pelas autoridades nacionais responsáveis pela proteção dos dados, em particular no que se refere a consultas ou reclamações de titulares de dados da União relativas à transferência de dados pessoais da União para organizações certificadas nos Estados Unidos. A Comissão deve igualmente ser informada sobre quaisquer indícios de que as ações das autoridades públicas dos EUA responsáveis pela prevenção, investigação, deteção ou repressão de infrações penais ou pela segurança nacional, incluindo os organismos de supervisão, não asseguram o nível de proteção exigido.

(211)

Em aplicação do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 (409), a Comissão, após a adoção da presente decisão, deve avaliar periodicamente se as conclusões relativas à adequação do nível de proteção assegurado pelos Estados Unidos no âmbito do QPD UE-EUA continuam a ser factual e juridicamente justificadas. Uma vez que, em especial, o EO 14086 e o Regulamento AG exigem a criação de novos mecanismos e a aplicação de novas garantias, a presente decisão deve ser objeto de uma primeira avaliação no prazo de um ano após a sua entrada em vigor, para verificar se todos os elementos pertinentes foram aplicados na íntegra e se estão a funcionar eficazmente na prática. Na sequência dessa primeira avaliação e em função dos seus resultados, a Comissão decide, em estreita consulta com o comité criado nos termos do artigo 93.o, n.o 1, do Regulamento (UE) 2016/679 e o Comité Europeu para a Proteção de Dados, sobre a periodicidade das futuras revisões (410).

(212)

Para efetuar as avaliações, a Comissão deve reunir-se com o Department of Commerce, com a FTC e com o DOT, acompanhados, se adequado, de outros departamentos e serviços envolvidos na aplicação do QPD UE-EUA, bem como, para as questões relativas ao acesso do governo aos dados, de representantes do DOJ, do ODNI (incluindo o CLPO), outros elementos do setor das informações, do DPRC e os advogados especiais. Essa reunião deve ser aberta à participação de representantes dos membros do Comité Europeu para a Proteção de Dados.

(213)

As avaliações devem abranger todos os aspetos do funcionamento da presente decisão no que respeita ao tratamento de dados pessoais no Estados Unidos, em particular a aplicação e execução dos princípios, com especial atenção para as proteções conferidas em caso de transferências ulteriores, a evolução da jurisprudência pertinente, a eficácia do exercício dos direitos individuais, o controlo e a aplicação do cumprimento dos princípios, bem como as limitações e salvaguardas relativas ao acesso por parte do governo, nomeadamente a implementação e aplicação das salvaguardas introduzidas pelo EO 14086, incluindo através de políticas e procedimentos desenvolvidos pelos serviços de informações; a articulação entre o EO 14086 e a secção 702 da FISA e do EO 12333; e a eficácia dos mecanismos de supervisão e das vias de recurso (incluindo o funcionamento do novo mecanismo de recurso criado ao abrigo do EO 14086). No contexto dessas revisões, será também dada atenção à cooperação entre as APD e as autoridades competentes dos Estados Unidos, incluindo a elaboração de orientações e outros instrumentos interpretativos sobre a aplicação dos princípios, bem como sobre outros aspetos do funcionamento do quadro.

(214)

Com base na avaliação, a Comissão deve preparar um relatório público a apresentar ao Parlamento Europeu e ao Conselho.

(215)

Sempre que as informações disponíveis, nomeadamente as resultantes do controlo da presente decisão ou fornecidas pelas autoridades norte-americanas ou dos Estados-Membros, revelarem que o nível de proteção conferido aos dados transferidos nos termos da presente decisão pode já não ser adequado, a Comissão deve informar sem demora as autoridades norte-americanas competentes desse facto e solicitar que sejam adotadas medidas adequadas dentro de um prazo razoável a especificar.

(216)

Se, uma vez decorrido o prazo especificado, as autoridades norte-americanas competentes não tomarem essas medidas ou não demonstrarem, de forma satisfatória, que a presente decisão continua a basear-se num nível de proteção adequado, a Comissão deve dar início ao procedimento referido no artigo 93.o, n.o 2, do Regulamento (UE) 2016/679 com vista à suspensão total ou parcial ou à revogação da presente decisão.

(217)

Em alternativa, a Comissão dá início a esse procedimento com vista a alterar a decisão, nomeadamente sujeitando as transferências de dados a condições adicionais ou limitando o âmbito de aplicação da verificação de adequação às transferências de dados em relação às quais continua a ser assegurado um nível adequado de proteção.

(218)

Em especial, a Comissão deve iniciar o procedimento de suspensão ou revogação em caso de:

(219)

A Comissão deve igualmente ponderar a possibilidade de iniciar o procedimento conducente à alteração, suspensão ou revogação da presente decisão, se apurar que as autoridades norte-americanas competentes não prestam as informações ou esclarecimentos necessários à avaliação do nível de proteção conferido aos dados pessoais transferidos da União para os estados Unidos, ou no que respeita ao cumprimento da presente decisão. Nesta matéria, a Comissão deve ter em conta em que medida a informação pertinente pode ser obtida junto de outras fontes.

(220)

Por imperativos de urgência devidamente justificados, por exemplo, se o EO 14086 ou o Regulamento AG forem alterados de uma forma que comprometa o nível de proteção descrito na presente decisão ou se for retirada a designação da União como organização elegível para efeitos do mecanismo de recurso por parte do Attorney General, a Comissão fará uso da possibilidade de adotar, de acordo com o procedimento a que se refere o artigo 93.o, n.o 3, do Regulamento (UE) 2016/679, atos de execução imediatamente aplicáveis que suspendam, revoguem ou alterem a presente decisão.

(221)

O Comité Europeu para a Proteção de Dados publicou o seu parecer (411), que foi tido em conta na elaboração da presente decisão.

(222)

O Parlamento Europeu adotou uma resolução sobre a adequação da proteção proporcionada pelo Quadro de Privacidade dos Dados UE-EUA (412).

(223)

As medidas previstas ao abrigo da presente decisão estão em conformidade com o parecer do comité instituído nos termos do artigo 93.o, n.o 1, do Regulamento (UE) 2016/679.